Configuración de los almacenes de certificados de colecciones para el enlace de consumidor en el nivel de aplicación

Un almacén de certificados de colecciones es una colección de certificados de CA (autoridad certificadora) que no sea root y listas CRL (Lista de revocación de certificados). Esta colección de certificados de CA y listas CRL se utilizan para comprobar si hay una firma válida en un mensaje SOAP firmado digitalmente.

Acerca de esta tarea

Un almacén de certificados de colecciones es una colección de certificados de la entidad emisora de certificados (CA) y de listas de revocación de certificados (CRL) no raíz que se utilizan para comprobar si la firmas de los mensajes SOAP firmados digitalmente son válidas. Efectúe los pasos siguientes para configurar un certificado de colecciones para los enlaces de consumidor en el nivel de aplicación.

Procedimiento

  1. Localice el panel de configuración del almacén de certificados de colecciones en la consola administrativa.
    1. Pulse Aplicaciones > Tipos de aplicaciones > Aplicaciones de empresa WebSphere > nombre_aplicación .
    2. En Módulos, pulse Gestionar módulos > nombre_URI.
    3. En las propiedades de Web Services Security, puede acceder a la información de almacén de certificados de colecciones para los enlaces de consumidor de respuestas y consumidor de solicitudes.
      • Para el enlace del consumidor (receptor) de respuestas, pulse Servicios web: enlaces de seguridad del cliente. En Enlace del consumidor (receptor) de respuestas, pulse Editar personalizado.
      • Para el enlace del consumidor (receptor) de solicitudes, pulse Servicios web: enlaces de seguridad del servidor. En Enlace del consumidor (receptor) de respuestas, pulse Editar personalizado.
    4. En Propiedades adicionales, pulse Almacén de certificados de colecciones.
  2. Pulse Nuevo para crear una configuración de almacén de certificados de colecciones, pulse en Suprimir para suprimir una configuración existente, o pulse el nombre de una configuración de almacén de certificados de colecciones existente para editar sus valores. Si está editando una nueva configuración, especifique un nombre en el campo Nombre del almacén de certificados.

    El nombre del almacén de certificados de colecciones debe ser exclusivo en el nivel de servidor de aplicaciones. Por ejemplo, si crea el almacén de certificados de colecciones para el nivel de aplicación, el nombre de almacén debe ser exclusivo en el nivel de aplicación. El nombre especificado en el campo Nombre del almacén de certificados lo utilizan las demás configuraciones para hacer referencia a un almacén de certificados de colecciones definido previamente. WebSphere Application Server busca el almacén de certificados de colecciones basándose en la proximidad.

    Por ejemplo, si un enlace de la aplicación hace referencia a un almacén de certificados de colecciones denominado cert1, el servidor de aplicaciones busca cert1 en el nivel de aplicación antes de buscar en el nivel de servidor y después en el nivel de célula.

  3. Especifique un proveedor del almacén de certificados en el campo Proveedor del almacén de certificados. WebSphere Application Server da soporte al proveedor de vías de acceso de certificados IBMCertPath. Para utilizar otro proveedor del almacén de certificados, debe definir la implementación del proveedor en la lista de proveedores en el archivo [AIX Solaris HP-UX Linux Windows]dir_instalaciónr/java/jre/lib/security/java.security[z/OS]dir_instalación/properties/java.security[IBM i]raíz_perfil/properties/java.security. Sin embargo, asegúrese de que su proveedor da soporte a los mismos requisitos del algoritmo de vía de acceso de certificados que WebSphere Application Server.
  4. Pulse Aceptar y Guardar para guardar la configuración.
  5. Pulse en el nombre de la configuración del almacén de certificados. Una vez que especifique el proveedor del almacén de certificados, debe especificar la ubicación de una lista de revocación de certificados o los certificados X.509. Sin embargo, puede especificar una lista de revocación de certificados y los certificados X.509 para la configuración del almacén de certificados.
  6. En Propiedades adicionales, pulse Listas de revocación de certificados.
  7. Pulse Nuevo para especificar una vía de acceso de lista de revocación de certificados, pulse Suprimir para suprimir una referencia de la lista existente, o pulse el nombre de una referencia existente para editar la vía de acceso. Debe especificar la vía de acceso completa para la ubicación en la que WebSphere Application Server puede encontrar la lista de certificados que no son válidos. Para poder portarlas, se recomienda utilizar las variables de WebSphere Application Server para especificar una vía de acceso relativa a la lista de revocación de certificados (CRL). Esta recomendación es especialmente importante cuando trabaja en un entorno de WebSphere Application Server, Network Deployment. Por ejemplo, puede utilizar la variable USER_INSTALL_ROOT para definir una vía de acceso como, por ejemplo, $USER_INSTALL_ROOT/mycertstore/mycrl1. Si desea una lista de las variables admitidas, pulse Entorno > Variables de WebSphere en la consola administrativa. La lista siguiente proporciona recomendaciones para utilizar las CRL:
    • Si se añaden las CRL al almacén de certificados de colecciones, añada las CRL para la autoridad de certificados raíz y cada certificado intermedio, si resulta aplicable. Cuando la CRL está en el almacén de colecciones de certificados, el estado de revocación de certificados para cada certificado de la cadena se comprueba en la CRL del emisor.
    • Cuando se actualiza el archivo CRL, la nueva CRL no tiene ningún efecto hasta que se reinicia la aplicación de servicio web.
    • Antes de que caduque una CRL, debe cargar una CRL nueva en el almacén de colecciones de certificados para sustituir la CRL antigua. Una CRL caducada del almacén de certificados de colecciones da como resultado un error de creación de la vía de acceso de certificados (CertPath).
  8. Pulse Aceptar y Guardar para guardar la configuración.
  9. Vuelva al panel de configuración del almacén de certificados de colecciones. Consulte los primeros pasos para localizar el panel del almacén de certificados de colecciones.
  10. En Propiedades adicionales, pulse Certificado X.509.
  11. Pulse Nuevo para crear una configuración nueva para certificados X.509, pulse en Suprimir para suprimir una configuración existente, o pulse el nombre de una configuración de certificados X.509 existente para editar sus valores. Si está editando una nueva configuración, especifique un nombre en el campo Nombre del almacén de certificados.
  12. Especifique una vía de acceso en el campo Vía de acceso de certificados X.509. Esta entrada es la vía de acceso absoluta a la ubicación de los certificados X.509. Este almacén de certificados de colecciones se utiliza para la validación de vías de acceso de certificados de los símbolos de seguridad entrantes con formato X.509.

    Puede utilizar la variable USER_INSTALL_ROOT como parte del nombre de vía de acceso. Por ejemplo, podría escribir: USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer. No utilice esta vía de acceso de certificados para producción. Debe obtener su propia autorización de certificado X.509 pasando el entorno de WebSphere Application Server a producción.

    En la consola administrativa, pulse Entorno > Variables de WebSphere para configurar la variable USER_INSTALL_ROOT.

  13. Pulse Aceptar y seguidamente Guardar para guardar la configuración.

Resultados

Ha configurado los almacenes de certificados de colecciones para el enlace de consumidor.

Qué hacer a continuación

Debe realizar la configuración de un consumidor de señales que haga referencia a esta configuración del almacén de certificados.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_colcertstconsapp
File name: twbs_colcertstconsapp.html