Configuración de los almacenes de certificados de colecciones para el enlace del generador en el nivel de aplicación
Puede configurar un certificado de colecciones para los enlaces del generador en el nivel de aplicación.
Acerca de esta tarea
Un almacén de certificados de colecciones es una colección de certificados de CA (autoridad certificadora) que no son raíz y listas de revocación de certificados, las CRL. Esta colección de certificados de CA y listas CRL se utilizan para comprobar si hay una firma válida en un mensaje SOAP firmado digitalmente.
Efectúe los pasos siguientes para configurar un certificado de colecciones para los enlaces del generador en el nivel de aplicación.
Procedimiento
- Localice el panel de configuración del almacén de certificados de colecciones
en la consola administrativa.
- Pulse Aplicaciones > Tipos de aplicaciones > Aplicaciones de empresa WebSphere > nombre_aplicación .
- En Gestionar módulos, pulse nombre_URI.
- En Propiedades de Web Services Security, puede acceder a la información de claves para
los enlaces del generador de solicitudes y del generador de respuestas.
- Para el enlace del generador (remitente) de solicitudes, pulse Servicios Web: Enlaces de seguridad del cliente. En Enlace del generador (remitente) de solicitudes, pulse Editar personalizado.
- Para el enlace del generador (remitente) de respuestas, pulse Servicios web: Enlaces de seguridad del servidor. En Enlace del generador (remitente) de respuestas, pulse Editar personalizado.
- En Propiedades adicionales, pulse Almacén de certificados de colecciones.
- Especifique el nombre del almacén de certificados. Pulse Nuevo para crear una configuración de almacén de certificados
de colecciones, seleccione el recuadro junto a la configuración y pulse Suprimir
para suprimir una configuración existente, o pulse el nombre de una configuración de
almacén de certificados de colecciones existente para editar sus valores. Si está editando una nueva configuración, especifique un nombre en el campo
Nombre del almacén de certificados.
El nombre del almacén de certificados de colecciones debe ser exclusivo en el nivel de servidor de aplicaciones. Por ejemplo, si crea el almacén de certificados de colecciones para el nivel de aplicación, el nombre de almacén debe ser exclusivo en el nivel de aplicación. El nombre especificado en el campo Nombre del almacén de certificados lo utilizan las demás configuraciones para hacer referencia a un almacén de certificados de colecciones definido previamente. WebSphere Application Server busca el almacén de certificados de colecciones basándose en la proximidad.
Por ejemplo, si un enlace de la aplicación hace referencia a un almacén de certificados de colecciones denominado cert1, el servidor de aplicaciones busca cert1 en el nivel de aplicación antes de buscar en el nivel de servidor y después en el nivel de célula.
- Especifique un proveedor del almacén de certificados en el campo Proveedor del
almacén de certificados. WebSphere Application Server da soporte al proveedor
de vías de acceso de certificados IBMCertPath. Para utilizar otro proveedor del almacén
de certificados, debe definir la implementación del proveedor en la lista de proveedores
del archivo
dir_instalación/java/jre/lib/security
raíz_perfil/properties/java.security. Sin embargo, asegúrese de que su proveedor da soporte a los mismos requisitos del algoritmo de vía de acceso de certificados que WebSphere Application Server.
- Pulse Aceptar y Guardar para guardar la configuración.
- Pulse en el nombre de la configuración del almacén de certificados. Una vez que especifique el proveedor del almacén de certificados, debe especificar la ubicación de una lista de revocación de certificados o los certificados X.509. Sin embargo, puede especificar una lista de revocación de certificados y los certificados X.509 para la configuración del almacén de certificados.
- En Propiedades adicionales, pulse Listas de revocación de certificados.
- Pulse Nuevo para especificar una vía de acceso de lista de revocación
de certificados, pulse Suprimir para suprimir una referencia de la lista
existente, o pulse el nombre de una referencia existente para editar la vía de acceso. Debe especificar la vía de acceso completa para la ubicación en la que
WebSphere Application Server puede encontrar la lista de certificados que no son válidos. Para poder portarlas, se recomienda utilizar las variables de WebSphere Application Server para especificar una vía de acceso relativa a la lista de revocación de
certificados (CRL). Esta recomendación es especialmente importante cuando trabaja en un entorno de WebSphere Application Server, Network Deployment.
Por ejemplo, puede utilizar la
variable USER_INSTALL_ROOT para definir una vía de acceso como, por ejemplo,
$USER_INSTALL_ROOT/mycertstore/mycrl1.
Si desea una lista de las variables admitidas, pulse Entorno > Variables de WebSphere en la consola administrativa.
La lista siguiente proporciona
recomendaciones para utilizar las CRL:
- Si se añaden las CRL al almacén de certificados de colecciones, añada las CRL para la autoridad de certificados raíz y cada certificado intermedio, si resulta aplicable. Cuando la CRL está en el almacén de colecciones de certificados, el estado de revocación de certificados para cada certificado de la cadena se comprueba en la CRL del emisor.
- Cuando se actualiza el archivo CRL, la nueva CRL no tiene ningún efecto hasta que se reinicia la aplicación de servicio web.
- Antes de que caduque una CRL, debe cargar una CRL nueva en el almacén de colecciones de certificados para sustituir la CRL antigua. Una CRL caducada del almacén de certificados de colecciones da como resultado un error de creación de la vía de acceso de certificados (CertPath).
- Pulse Aceptar y Guardar para guardar la configuración.
- Vuelva al panel de configuración del almacén de certificados de colecciones. Para acceder al panel, siga estos pasos:
- Pulse Aplicaciones > Tipos de aplicaciones > Aplicaciones de empresa WebSphere > nombre_aplicación .
- En Gestionar módulos, pulse nombre_URI.
- En Propiedades de Web Services Security, puede acceder a la información de claves para
los enlaces del generador de solicitudes y del generador de respuestas.
- Para el enlace del generador (remitente) de solicitudes, pulse Servicios Web: Enlaces de seguridad del cliente. En Enlace del generador (remitente) de solicitudes, pulse Editar personalizado.
- Para el enlace del generador (remitente) de respuestas, pulse Servicios web: Enlaces de seguridad del servidor. En Enlace del generador (remitente) de respuestas, pulse Editar personalizado.
- En Propiedades adicionales, pulse Almacén de certificados de colecciones > nombre_almacén_certificados.
- En Propiedades adicionales, pulse Certificado X.509.
- Pulse Nuevo para crear una configuración de certificados X.509, pulse en Suprimir para suprimir una configuración existente, o pulse el nombre de una configuración de certificados X.509 existente para editar sus valores. Si está editando una nueva configuración, especifique un nombre en el campo Nombre del almacén de certificados.
- Especifique una vía de acceso en el campo Vía de acceso de certificados X.509. Esta entrada es
la vía de acceso absoluta a la ubicación del certificado X.509. Este almacén de
certificados de colecciones se utiliza para la validación de vías de acceso de
certificados de los símbolos de seguridad entrantes con formato X.509.
Puede utilizar la variable USER_INSTALL_ROOT como parte del nombre de la vía de acceso. Por ejemplo, podría escribir: USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer. No utilice esta vía de acceso de certificados para producción. Debe obtener su propia autorización de certificado X.509 pasando el entorno de WebSphere Application Server a producción.
En la consola administrativa, pulse Entorno > Variables de WebSphere para configurar la variable USER_INSTALL_ROOT.
- Pulse Aceptar y seguidamente Guardar para guardar la configuración.
Resultados
Qué hacer a continuación
Subtopics
Grupo de almacenes de certificados de colecciones
Utilice esta página para ver una lista de almacenes de certificados que contiene los archivos de certificados de intermediarios que no son de confianza y están a la espera de ser validados. La validación puede consistir en comprobar si el certificado figura en una lista de revocación de certificados, (la lista CRL), si el certificado no ha caducado y si lo ha emitido un firmante de confianza.Valores de configuración del almacén de certificados de colecciones
Utilice esta página para especificar el nombre y el proveedor de un almacén de certificados de colecciones. Un almacén de certificados de colecciones es una colección de certificados de CA (autoridad certificadora) que no son raíz y listas de revocación de certificados, las CRL. Esta colección de certificados de CA y listas CRL se utilizan para comprobar la firma de los mensajes SOAP firmados digitalmente.Grupo de certificados X.509
Utilice esta página para ver una lista de archivos de certificados intermedios de no confianza. Este almacén de certificados de colecciones se utiliza para la validación de vías de acceso de certificados de las señales de seguridad entrantes con formato X.509.Valores de configuración de certificados X.509
Utilice esta página para especificar una lista de archivos de certificados intermedios no de confianza. Este almacén de certificados de colecciones se utiliza para la validación de vías de acceso de certificados de las señales de seguridad entrantes con formato X.509.Grupo de listas de revocación de certificados
Utilice esta página para determinar la ubicación de las listas de revocación de certificados (CRL) que conoce el servidor de aplicaciones. El servidor de aplicaciones comprueba la CRL para determinar la validez del certificado de cliente. Es posible que el certificado que figure en una lista de revocación de certificados no esté caducado pero la CA (autoridad certificadora) que ha emitido el certificado ya no lo considera de confianza. La CA puede añadir el certificado a la lista de revocación de certificados si cree que se ha comprometido la autorización del cliente.Valores de configuración de la lista de revocación de certificados
Utilice esta página para especificar una lista de revocaciones de certificados que compruebe la validez de un certificado. El servidor de aplicaciones comprueba las CRL (listas de revocación de certificados) para determinar la validez del certificado de cliente. Es posible que el certificado que figure en una lista de revocación de certificados no esté caducado pero la CA (autoridad certificadora) que ha emitido el certificado ya no lo considera de confianza. La CA puede añadir el certificado a la lista de revocación de certificados si cree que se ha comprometido la autorización del cliente.Grupo de almacenes de certificados de colecciones
Utilice esta página para ver una lista de almacenes de certificados que contiene los archivos de certificados de intermediarios que no son de confianza y están a la espera de ser validados. La validación puede consistir en comprobar si el certificado figura en una lista de revocación de certificados, (la lista CRL), si el certificado no ha caducado y si lo ha emitido un firmante de confianza.Valores de configuración del almacén de certificados de colecciones
Utilice esta página para especificar el nombre y el proveedor de un almacén de certificados de colecciones. Un almacén de certificados de colecciones es una colección de certificados de CA (autoridad certificadora) que no son raíz y listas de revocación de certificados, las CRL. Esta colección de certificados de CA y listas CRL se utilizan para comprobar la firma de los mensajes SOAP firmados digitalmente.Grupo de certificados X.509
Utilice esta página para ver una lista de archivos de certificados intermedios de no confianza. Este almacén de certificados de colecciones se utiliza para la validación de vías de acceso de certificados de las señales de seguridad entrantes con formato X.509.Valores de configuración de certificados X.509
Utilice esta página para especificar una lista de archivos de certificados intermedios no de confianza. Este almacén de certificados de colecciones se utiliza para la validación de vías de acceso de certificados de las señales de seguridad entrantes con formato X.509.Grupo de listas de revocación de certificados
Utilice esta página para determinar la ubicación de las listas de revocación de certificados (CRL) que conoce el servidor de aplicaciones. El servidor de aplicaciones comprueba la CRL para determinar la validez del certificado de cliente. Es posible que el certificado que figure en una lista de revocación de certificados no esté caducado pero la CA (autoridad certificadora) que ha emitido el certificado ya no lo considera de confianza. La CA puede añadir el certificado a la lista de revocación de certificados si cree que se ha comprometido la autorización del cliente.Valores de configuración de la lista de revocación de certificados
Utilice esta página para especificar una lista de revocaciones de certificados que compruebe la validez de un certificado. El servidor de aplicaciones comprueba las CRL (listas de revocación de certificados) para determinar la validez del certificado de cliente. Es posible que el certificado que figure en una lista de revocación de certificados no esté caducado pero la CA (autoridad certificadora) que ha emitido el certificado ya no lo considera de confianza. La CA puede añadir el certificado a la lista de revocación de certificados si cree que se ha comprometido la autorización del cliente.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_colcertstgenapp
File name: twbs_colcertstgenapp.html