Configuración del certificado de colecciones a nivel de servidor o de célula
Los almacenes de certificados de colecciones contienen archivos de certificados intermedios de no confianza a la espera de validación. Puede configurar un almacén de certificados de colecciones en el nivel de servidor.
Acerca de esta tarea
En los pasos siguientes, utilice el primer paso para configurar el almacén de certificados de colecciones en el nivel de servidor y utilice el segundo paso para configurar el almacén de certificados de colecciones en el nivel de célula:
Procedimiento
- Acceda a los enlaces predeterminados para el nivel de servidor.
- Pulse Servidores > Tipos de servidor > WebSphere Application Servers > nombre_servidor.
- En Seguridad, pulse Tiempo de ejecución de seguridad JAX-WS y JAX-RPC.
Mixed-version environment: En una célula de nodo mixto con un WebSphere Application Server versión 6.1 o anterior, pulse Servicios Web: enlaces predeterminados para Web Services Security.mixv
- Pulse Seguridad > Servicios Web para acceder a los enlaces predeterminados en el nivel de célula.
- En Propiedades adicionales, pulse Almacén de certificados de colecciones.
- Pulse Nuevo para crear una configuración de almacén de certificados de
colecciones, pulse en Suprimir para suprimir una configuración existente, o pulse
el nombre de una configuración de almacén de certificados de colecciones existente para
editar sus valores. Si está editando una nueva configuración, especifique un nombre en el campo
Nombre del almacén de certificados. Por ejemplo, puede denominar a su almacén de certificados sig_certstore.
El nombre del almacén de certificados de colecciones debe ser exclusivo en el nivel de servidor de aplicaciones. Por ejemplo, si crea el almacén de certificados de colecciones para el nivel de servidor, el nombre de almacén debe ser exclusivo en el nivel de servidor. El nombre especificado en el campo Nombre del almacén de certificados lo utilizan las demás configuraciones para hacer referencia a un almacén de certificados de colecciones definido previamente. WebSphere Application Server busca el almacén de certificados de colecciones basándose en la proximidad.
Por ejemplo, si un enlace de la aplicación hace referencia a un almacén de certificados de colecciones denominado cert1, el servidor de aplicaciones busca cert1 en el nivel de aplicación antes de buscar en el nivel de servidor y después en el nivel de célula.
- Especifique un proveedor del almacén de certificados en el campo Proveedor del
almacén de certificados. WebSphere Application Server da soporte al proveedor
de vías de acceso de certificados IBMCertPath. Para utilizar otro proveedor del almacén
de certificados, debe definir la implementación del proveedor en la lista de proveedores
del archivo
dir_instalación/properties
raíz_perfil/properties/java.security. Sin embargo, asegúrese de que su proveedor da soporte a los mismos requisitos del algoritmo de vía de acceso de certificados que WebSphere Application Server.
- Pulse Aceptar y Guardar para guardar la configuración.
- Pulse en el nombre de la configuración del almacén de certificados. Una vez que especifique el proveedor del almacén de certificados, debe especificar la ubicación de una lista de revocación de certificados o los certificados X.509. Sin embargo, puede especificar una lista de revocación de certificados y los certificados X.509 para la configuración del almacén de certificados.
- En Propiedades adicionales, pulse Listas de revocación de certificados. Para el enlace del generador, se utiliza una CRL (lista de revocación de certificados) cuando se incluye en una señal de seguridad generada. Por ejemplo, una señal de seguridad puede estar envuelta en un formato PKCS#7 con una CRL. Si desea más información sobre listas de revocación de certificados, consulte Lista de revocación de certificados.
- Pulse Nuevo para especificar una vía de acceso de lista de revocación
de certificados, pulse Suprimir para suprimir una referencia de la lista
existente, o pulse el nombre de una referencia existente para editar la vía de acceso. Debe especificar la vía de acceso completa para la ubicación en la que
WebSphere Application Server puede encontrar la lista de certificados que no son válidos. WebSphere Application Server utiliza la lista de revocación de certificados para
comprobar la validez del certificado del remitente.
Para poder portarlas, se recomienda utilizar las variables de WebSphere Application Server para especificar una vía de acceso relativa a las listas de revocación de certificados. Esta recomendación es especialmente importante cuando trabaja en un entorno de WebSphere Application Server, Network Deployment.
Por ejemplo, puede utilizar la variable USER_INSTALL_ROOT para definir una vía de acceso como, por ejemplo, $USER_INSTALL_ROOT/mycertstore/mycrl1 donde mycertstore representa el nombre del almacén de certificados y mycrl1 representa la lista de revocación de certificados. Si desea una lista de las variables admitidas, pulse Entorno > Variables de WebSphere en la consola administrativa. La lista siguiente proporciona recomendaciones para utilizar las CRL:- Si se añaden las CRL al almacén de certificados de colecciones, añada las CRL para la autoridad de certificados raíz y cada certificado intermedio, si resulta aplicable. Cuando la CRL está en el almacén de colecciones de certificados, el estado de revocación de certificados para cada certificado de la cadena se comprueba en la CRL del emisor.
- Cuando se actualiza el archivo CRL, la nueva CRL no tiene ningún efecto hasta que se reinicie la aplicación de servicio web.
- Antes de que caduque una CRL, debe cargar una CRL nueva en el almacén de colecciones de certificados para sustituir la CRL antigua. Una CRL caducada del almacén de certificados de colecciones da como resultado un error de creación de la vía de acceso de certificados (CertPath).
- Pulse Aceptar y, a continuación, Guardar para guardar la configuración.
- Vuelva al panel de configuración del almacén de certificados de colecciones.
- En Propiedades adicionales, pulse Certificado X.509. La configuración de certificados X.509 especifica archivos de certificado intermedios que se utilizan para validar las vías de acceso de certificados de las señales de seguridad con formato X.509 recibidos.
- Pulse Nuevo para crear una configuración de certificados X.509, pulse Suprimir para suprimir una configuración existente o pulse el nombre de una configuración de certificados X.509 existente para editar sus valores. Si está editando una nueva configuración, especifique un nombre en el campo Nombre del almacén de certificados.
- Especifique una vía de acceso en el campo Vía de acceso de certificados X.509. Esta entrada es
la vía de acceso absoluta a la ubicación del certificado X.509. El almacén de certificados de colecciones se utiliza para validar la vía de acceso
del certificado de las señales de seguridad entrantes con formato X.509.
Puede utilizar la variable USER_INSTALL_ROOT como parte del nombre de la vía de acceso. Por ejemplo, puede escribir: $USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer. No utilice esta vía de acceso de certificados para producción. Debe obtener su propia autorización de certificado X.509 pasando el entorno de WebSphere Application Server a producción.
En la consola administrativa, pulse Entorno > Variables de WebSphere para configurar la variable USER_INSTALL_ROOT.
- Pulse Aceptar y seguidamente Guardar para guardar la configuración.
- Vuelva al panel de colecciones Almacén de certificados de colecciones y pulse Actualizar el tiempo de ejecución para actualizar el tiempo de ejecución de Web Services Security con la información de enlace predeterminado, que se encuentra en el archivo ws-security_security.xml. Al pulsar Actualizar el tiempo de ejecución, también se actualizan los cambios de configuración realizados en los otros servicios web durante el tiempo de ejecución Web Services Security. Los conjuntos de políticas sólo se pueden utilizar con aplicaciones JAX-WS. No se pueden utilizar conjuntos de políticas para aplicaciones JAX-RPC.
Resultados
Ha configurado el almacén de certificados de colecciones para el nivel de servidor o de célula.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configcolcertstsvrcell
File name: twbs_configcolcertstsvrcell.html