Utilisation du certificat de jeton RSA

Le jeton Rivest Shamir Adleman (RSA) utilise des certificats de la même manière que Secure Sockets Layer (SSL). Cependant, les accréditations établies pour SSL et RSA sont différentes et les certificats RSA ne doivent pas utiliser des certificats SSL, et vice-versa. Les certificats SSL peuvent être utilisés par des clients purs. S'ils sont utilisés pour un mécanisme RSA, ils permettent au client d'envoyer un jeton RSA au serveur. Le mécanisme d'authentification du jeton RSA s'adresse uniquement aux demande de serveur à serveur et ne doit pas être utilisé pour les clients purs. Pour éviter cela, il faut contrôler les certificats utilisés par RSA de sorte à ce qu'ils ne soient jamais diffusés aux clients. Il existe un certificat racine différent pour RSA qui évite d'établir une accréditation avec des clients qui n'ont besoin que de certificats SSL.

Certificat racine RSA

Pour chaque profil, il existe un certificat racine stocké dans le fichier de clés rsatoken-root-key.p12 . L'unique objectif de ce certificat racine RSA est de signer le certificat personnel RSA stocké dans le fichier de clés rsatoken-key.p12. Le certificat racine RSA a une durée de vie par défaut de 15 ans. Le signataire du certificat racine RSA est partagé avec les autres processus pour établir l'accréditation.

L'utilitaire d'accréditation est disponible via QShell Interpreter. Il permet de lister le contenu des fichiers de clés et d'afficher le "keyEntry" (certificat personnel). L'exemple qui suit illustre ce procédé pour rsatoken-root-key.p12 (certificat racine RSA) et rsatoken-key.p12 (certificat personnel RSA).
${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-root-key.p12
–storepass WebAS -storetype PKCS12

Nom d'alias : root
Type d'entrée : keyEntry
Certificat [1] :
Propriétaire : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Emetteur : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Numéro de série : 3474fccaf789d
Valide du : 11/12/07 2:50 PM jusqu'au : 11/7/27 2:50 PM
Empreintes du certificat :
         MD5:  7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
         SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87

${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-key.p12
–storepass WebAS -storetype PKCS12

Nom d'alias : default
Type d'entrée : keyEntry
Certificat [1] :
Propriétaire : CN=9.41.62.64, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Emetteur : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Numéro de série : 3475073488921
Valide du : 11/12/07 2:50 PM jusqu'au : 11/11/08 2:50 PM
Empreintes du certificat :
         MD5:  FF:1C:42:E3:DA:FF:DC:A4:35:B2:33:30:D1:6E:E0:19
         SHA1: A4:FB:9D:7B:A1:5B:6A:37:9F:20:BD:B2:BD:98:FA:68:71:57:28:62
Certificat [2] :
Propriétaire : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Emetteur : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode
04, O=IBM, C=US
Numéro de série : 3474fccaf789d
Valide du : 11/12/07 2:50 PM jusqu'au : 11/7/27 2:50 PM
Empreintes du certificat :
         MD5:  7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
         SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87

L'objectif du certificat personnel RSA est de signer et de chiffrer les informations du jeton RSA. Le certificat personnel RSA a une durée de vie par défaut d'un an car il est utilisé pour signer et chiffrer des données transmises sur une connexion. La regénération du certificat est effectuée par le surveillant d'expiration des certificats, utilisé pour tous les autres certificats du système, y compris les certificats SSL.

L'accréditation du jeton RSA est établie lorsque le rsatoken-trust.p12 du processus cible contient le signataire du certificat racine du processus client qui a envoyé un jeton. Dans le jeton RSA se trouve le certificat public du client, qui doit être validé sur la cible avant d'être utilisé pour déchiffrer des données. La validation du certificat public du client est effectuée par les API CertPath, qui utilisent rsatoken-trust.p12 comme source des certificats pour la validation.

L'exemple qui suit présente une utilisation de l'outil de clé pour lister le contenu du fichier de clés rsatoken-trust.p12.
Remarque : Le magasin d'accréditations contient trois entrées trustedCertEntry (certificat public) : le certificat racine public de l'agent administratif, un certificat public d'un gestionnaire de travaux dans lequel il est enregistré et un certificat public d'un profil de base dans lequel il est enregistré.
${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-trust.p12
–storepass WebAS -storetype PKCS12

Nom d'alias : root
Type d'entrée : trustedCertEntry

Propriétaire : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Emetteur : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Numéro de série : 3474fccaf789d
Valide du : 11/12/07 2:50 PM jusqu'au : 11/7/27 2:50 PM
Empreintes du certificat :
         MD5:  7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
         SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87
*******************************************
Nom d'alias : cn=9.41.62.64, ou=root certificate, ou=birkt60jobmgrcell02, ou=birkt
60jobmgr02, o=ibm, c=us
Type d'entrée : trustedCertEntry

Propriétaire : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60JobMgrCell02, OU=BIRKT60JobMgr02, O=IBM, C=US
Emetteur : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60JobMgrCell02, OU=BIRKT60JobMgr02, O=IBM, C=US
Numéro de série : 34cc4c5d71740
Valide du : 11/12/07 4:30 PM jusqu'au : 11/7/27 4:30 PM
Empreintes du certificat :
         MD5:  AB:65:3A:04:5B:C7:6D:A8:B1:98:B9:7B:65:A8:FA:F8
         SHA1: C0:83:FE:D0:B6:30:FB:A1:10:41:4B:8E:50:4B:78:40:0F:E5:E3:35
*******************************************
Nom d'alias : birkt60node19_signer
Type d'entrée : trustedCertEntry

Propriétaire : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60Node15Cell, OU=BIRKT60Node19, O=IBM, C=US
Emetteur : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60Node15Cell, OU=BIRKT60Node19, O=IBM, C=US
Numéro de série : 34825d997fda3
Valide du : 11/12/07 3:06 PM jusqu'au : 11/7/27 3:06 PM
Empreintes du certificat :
         MD5:  66:61:CE:7C:C7:44:8B:A7:23:FF:1B:68:E4:AC:24:55
         SHA1: 25:E0:6B:D9:60:BB:67:5B:C6:67:BD:02:2C:54:E3:DA:24:E5:31:A3
*******************************************

Vous pouvez utiliser les outils de gestion de certificats de WebSphere Application Server pour créer un certificat personnel, puis remplacer le certificat personnel RSA dans le rsa-key.p12 et la clé publique dans le rsa-trust.p12 par le nouveau certificat personnel créé. Si vous remplacez le certificat personnel RSA avant la fédération sur un agent administratif ou un gestionnaire de travaux, l'échange des certificats sera fait pour vous. Si vous le faites après la fédération, vous devrez vous assurer que le rsa-trust.p12 de l'agent administratif ou du gestionnaire de travaux est mis à jour avec le signataire pour que votre nouveau certificat puisse établir l'accréditation.


Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_7rsa_token_cert_use
Nom du fichier : rsec_7rsa_token_cert_use.html