Configuración de los almacenes de certificados de colecciones para el enlace del generador en el nivel de aplicación

Puede configurar un certificado de colecciones para los enlaces del generador en el nivel de aplicación.

Acerca de esta tarea

Un almacén de certificados de colecciones es una colección de certificados de CA (autoridad certificadora) que no son raíz y listas de revocación de certificados, las CRL. Esta colección de certificados de CA y listas CRL se utilizan para comprobar si hay una firma válida en un mensaje SOAP firmado digitalmente.

Efectúe los pasos siguientes para configurar un certificado de colecciones para los enlaces del generador en el nivel de aplicación.

Procedimiento

  1. Localice el panel de configuración del almacén de certificados de colecciones en la consola administrativa.
    1. Pulse Aplicaciones > Tipos de aplicaciones > Aplicaciones de empresa WebSphere > nombre_aplicación .
    2. En Gestionar módulos, pulse nombre_URI.
    3. En Propiedades de Web Services Security, puede acceder a la información de claves para los enlaces del generador de solicitudes y del generador de respuestas.
      • Para el enlace del generador (remitente) de solicitudes, pulse Servicios Web: Enlaces de seguridad del cliente. En Enlace del generador (remitente) de solicitudes, pulse Editar personalizado.
      • Para el enlace del generador (remitente) de respuestas, pulse Servicios web: Enlaces de seguridad del servidor. En Enlace del generador (remitente) de respuestas, pulse Editar personalizado.
    4. En Propiedades adicionales, pulse Almacén de certificados de colecciones.
  2. Especifique el nombre del almacén de certificados. Pulse Nuevo para crear una configuración de almacén de certificados de colecciones, seleccione el recuadro junto a la configuración y pulse Suprimir para suprimir una configuración existente, o pulse el nombre de una configuración de almacén de certificados de colecciones existente para editar sus valores. Si está editando una nueva configuración, especifique un nombre en el campo Nombre del almacén de certificados.

    El nombre del almacén de certificados de colecciones debe ser exclusivo en el nivel de servidor de aplicaciones. Por ejemplo, si crea el almacén de certificados de colecciones para el nivel de aplicación, el nombre de almacén debe ser exclusivo en el nivel de aplicación. El nombre especificado en el campo Nombre del almacén de certificados lo utilizan las demás configuraciones para hacer referencia a un almacén de certificados de colecciones definido previamente. WebSphere Application Server busca el almacén de certificados de colecciones basándose en la proximidad.

    Por ejemplo, si un enlace de la aplicación hace referencia a un almacén de certificados de colecciones denominado cert1, el servidor de aplicaciones busca cert1 en el nivel de aplicación antes de buscar en el nivel de servidor y después en el nivel de célula.

  3. Especifique un proveedor del almacén de certificados en el campo Proveedor del almacén de certificados. WebSphere Application Server da soporte al proveedor de vías de acceso de certificados IBMCertPath. Para utilizar otro proveedor del almacén de certificados, debe definir la implementación del proveedor en la lista de proveedores del archivo [z/OS][AIX Solaris HP-UX Linux Windows]dir_instalación/java/jre/lib/security[IBM i]raíz_perfil/properties/java.security. Sin embargo, asegúrese de que su proveedor da soporte a los mismos requisitos del algoritmo de vía de acceso de certificados que WebSphere Application Server.
  4. Pulse Aceptar y Guardar para guardar la configuración.
  5. Pulse en el nombre de la configuración del almacén de certificados. Una vez que especifique el proveedor del almacén de certificados, debe especificar la ubicación de una lista de revocación de certificados o los certificados X.509. Sin embargo, puede especificar una lista de revocación de certificados y los certificados X.509 para la configuración del almacén de certificados.
  6. En Propiedades adicionales, pulse Listas de revocación de certificados.
  7. Pulse Nuevo para especificar una vía de acceso de lista de revocación de certificados, pulse Suprimir para suprimir una referencia de la lista existente, o pulse el nombre de una referencia existente para editar la vía de acceso. Debe especificar la vía de acceso completa para la ubicación en la que WebSphere Application Server puede encontrar la lista de certificados que no son válidos. Para poder portarlas, se recomienda utilizar las variables de WebSphere Application Server para especificar una vía de acceso relativa a la lista de revocación de certificados (CRL). Esta recomendación es especialmente importante cuando trabaja en un entorno de WebSphere Application Server, Network Deployment. Por ejemplo, puede utilizar la variable USER_INSTALL_ROOT para definir una vía de acceso como, por ejemplo, $USER_INSTALL_ROOT/mycertstore/mycrl1. Si desea una lista de las variables admitidas, pulse Entorno > Variables de WebSphere en la consola administrativa. La lista siguiente proporciona recomendaciones para utilizar las CRL:
    • Si se añaden las CRL al almacén de certificados de colecciones, añada las CRL para la autoridad de certificados raíz y cada certificado intermedio, si resulta aplicable. Cuando la CRL está en el almacén de colecciones de certificados, el estado de revocación de certificados para cada certificado de la cadena se comprueba en la CRL del emisor.
    • Cuando se actualiza el archivo CRL, la nueva CRL no tiene ningún efecto hasta que se reinicia la aplicación de servicio web.
    • Antes de que caduque una CRL, debe cargar una CRL nueva en el almacén de colecciones de certificados para sustituir la CRL antigua. Una CRL caducada del almacén de certificados de colecciones da como resultado un error de creación de la vía de acceso de certificados (CertPath).
  8. Pulse Aceptar y Guardar para guardar la configuración.
  9. Vuelva al panel de configuración del almacén de certificados de colecciones. Para acceder al panel, siga estos pasos:
    1. Pulse Aplicaciones > Tipos de aplicaciones > Aplicaciones de empresa WebSphere > nombre_aplicación .
    2. En Gestionar módulos, pulse nombre_URI.
    3. En Propiedades de Web Services Security, puede acceder a la información de claves para los enlaces del generador de solicitudes y del generador de respuestas.
      • Para el enlace del generador (remitente) de solicitudes, pulse Servicios Web: Enlaces de seguridad del cliente. En Enlace del generador (remitente) de solicitudes, pulse Editar personalizado.
      • Para el enlace del generador (remitente) de respuestas, pulse Servicios web: Enlaces de seguridad del servidor. En Enlace del generador (remitente) de respuestas, pulse Editar personalizado.
    4. En Propiedades adicionales, pulse Almacén de certificados de colecciones > nombre_almacén_certificados.
  10. En Propiedades adicionales, pulse Certificado X.509.
  11. Pulse Nuevo para crear una configuración de certificados X.509, pulse en Suprimir para suprimir una configuración existente, o pulse el nombre de una configuración de certificados X.509 existente para editar sus valores. Si está editando una nueva configuración, especifique un nombre en el campo Nombre del almacén de certificados.
  12. Especifique una vía de acceso en el campo Vía de acceso de certificados X.509. Esta entrada es la vía de acceso absoluta a la ubicación del certificado X.509. Este almacén de certificados de colecciones se utiliza para la validación de vías de acceso de certificados de los símbolos de seguridad entrantes con formato X.509.

    Puede utilizar la variable USER_INSTALL_ROOT como parte del nombre de la vía de acceso. Por ejemplo, podría escribir: USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer. No utilice esta vía de acceso de certificados para producción. Debe obtener su propia autorización de certificado X.509 pasando el entorno de WebSphere Application Server a producción.

    En la consola administrativa, pulse Entorno > Variables de WebSphere para configurar la variable USER_INSTALL_ROOT.

  13. Pulse Aceptar y seguidamente Guardar para guardar la configuración.

Resultados

Ha configurado los almacenes de certificados de colecciones para el enlace del generador en el nivel de aplicación

Qué hacer a continuación

Debe especificar una configuración de almacén de certificados de colecciones similar para el consumidor.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_colcertstgenapp
File name: twbs_colcertstgenapp.html