Un magasin de certificats de collection (également appelé espace de stockage de certificats) se compose d'un ensemble de certificats émis par une autorité de certification (CA) et de listes de retrait de certificats (CRL). Cette collection de certificats de CA et de listes CRL permet de vérifier si une signature numérique est valide dans un message SOAP dotée d'une signature numérique.
Pourquoi et quand exécuter cette tâche
Un magasin de certificats de collection est une collection de certificats
non racine émis par une autorité de certification (CA) et de listes de retrait de
certificats (CRL), servant à rechercher une signature valide dans un message SOAP
signé de façon numérique. Pour configurer un certificat de collection pour les liaisons de destinataire au niveau de l'application, procédez comme suit :
Procédure
- Recherchez le panneau de configuration des magasins de certificats de collection dans la console d'administration.
- Cliquez sur .
- Sous Modules, cliquez sur .
- Sous les propriétés de la sécurité des Services Web, vous pouvez accéder
aux informations relatives au magasin de certificats de collection pour les liaisons de
destinataire de réponse et de destinataire de demande.
- Pour la liaison de destinataire de réponse (récepteur), cliquez
sur Services Web : Liaisons de sécurité du client. Sous Liaison du destinataire de la réponse (récepteur),
cliquez sur Editer les valeurs personnalisées.
- Pour la liaison de destinataire (récepteur) de demande, cliquez
sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du destinataire de la réponse (récepteur),
cliquez sur Editer les valeurs personnalisées.
- Dans la section Propriétés supplémentaires, cliquez sur Magasin de certificats de collection.
- Cliquez sur Nouveau pour créer une configuration de magasin de certificats de collection, cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration de magasin de certificats de collection pour modifier ses paramètres. Si vous créez une configuration, entrez son nom dans la zone Nom du magasin de certificats.
Le nom du magasin de certificats de collection doit être unique au niveau du serveur d'applications. Par exemple, si vous créez le magasin de certificats de collection au niveau de l'application, le nom du magasin doit être unique au niveau de l'application. Le nom spécifié dans la zone du nom du magasin de certificats est utilisé par d'autres configurations pour désigner un magasin de certificats de collection prédéfini. WebSphere
Application Server recherche le
magasin de certificats de collection en fonction de la proximité.
Par exemple, si une liaison d'application désigne un magasin de certificats de collection appelé cert1, le serveur d'applications recherche cert1 au niveau de l'application avant d'effectuer la recherche au niveau du serveur, puis de la cellule.
- Indiquez un fournisseur de magasin de certificats dans la zone appropriée. WebSphere
Application Server prend en charge le fournisseur de magasin de certificats IBMCertPath. Pour utiliser un autre fournisseur de magasin de certificats, vous devez définir l'implémentation du fournisseur dans la liste de fournisseurs dans le fichier
install_dir/java/jre/lib/security/java.security
install_dir/properties/java.security
racine_profil/properties/java.security.
Toutefois, vérifiez que le fournisseur prend en charge les mêmes conditions que l'algorithme du chemin d'accès aux certificats que WebSphere
Application Server.
- Cliquez sur OK et sur Sauvegarder pour enregistrer la configuration.
- Cliquez sur le nom de la configuration du magasin de certificats. Après avoir spécifié le fournisseur du magasin de certificats, vous devez indiquer l'emplacement d'une liste de retrait de certificat ou les certificats X.509. Pour la configuration de votre magasin de certificats, vous pouvez cependant spécifier à la fois la liste de retrait de certificat et les certificats X.509.
- Dans la section Propriétés supplémentaires, cliquez sur Listes de retrait de certificats.
- Cliquez sur Nouveau pour spécifier un chemin d'accès à la liste de retrait de certificat, cliquez sur Supprimer pour supprimer une référence à une liste ou cliquez sur le nom d'une référence pour modifier son chemin. Vous devez indiquer le
chemin d'accès complet à l'emplacement où WebSphere
Application Server est susceptible de trouver
la liste des certificats non valides. Pour des raisons de portabilité, il est
recommandé d'utiliser les variables WebSphere
Application Server pour spécifier un chemin d'accès relatif à la liste de retrait de certificats. Cette recommandation est particulièrement importante lorsque vous travaillez dans un environnement WebSphere
Application Server, Network Deployment.
Par exemple, vous pouvez utiliser la variable USER_INSTALL_ROOT pour définir un chemin d'accès, tel que USER_INSTALL_ROOT/mycertstore/mycrl1.
Pour obtenir une liste des variables prises en charge, cliquez sur dans la console d'administration. Voici une liste de recommandations concernant l'utilisation de listes de retrait de certificats (CRL) :
- Si des listes CRL sont ajoutées au magasin de certificats de collection, ajoutez les listes CRL
pour l'autorité de certification racine et, le cas échéant, pour chaque certificat
intermédiaire. Lorsque la CRL est dans le magasin de collections de certificats, l'état
de révocation (ou retrait) de chaque certificat de la chaîne est vérifié par rapport à
la CRL de l'émetteur.
- Lorsque le fichier de la CRL est mis à jour, la nouvelle CRL ne prend effet qu'au redémarrage
suivant de l'application de service Web.
- Avant l'expiration d'une CRL, vous devez en charger une nouvelle dans le magasin de collections
de certificats afin de remplacer l'ancienne CRL. La présence, dans le magasin de collections de certificats,
d'une CRL ayant expiré se traduit par un échec de génération du chemin de
certificat (CertPath).
- Cliquez sur OK et sur Sauvegarder pour enregistrer la configuration.
- Revenez au panneau de configuration des magasins de certificats de collection. Pour trouver le panneau du magasin de certificats de collection, voir les premières étapes.
- Dans la section Propriétés supplémentaires, cliquez sur Certificats X.509.
- Cliquez sur Nouveau pour créer une configuration de certificats X.509,
cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration de certificat X.509 pour modifier ses paramètres. Si vous créez une configuration, entrez son nom dans la zone Nom du magasin de certificats.
- Spécifiez un chemin d'accès dans la zone destinée à contenir le chemin d'accès aux certificats X.509. Cette entrée correspond au chemin d'accès absolu à l'emplacement des certificats X.509. Le magasin de certificats de collection permet de valider le chemin des jetons de sécurité X.509 entrants.
Vous pouvez utiliser la variable USER_INSTALL_ROOT dans le chemin d'accès. Par exemple, vous pouvez entrer : USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer.
N'utilisez pas ce chemin d'accès aux certificats dans un contexte de production. Vous devez vous procurer votre propre certificat X.509
auprès d'une autorité de certification avant de placer votre environnement WebSphere
Application Server en production.
Pour configurer la variable USER_INSTALL_ROOT, cliquez sur dans la console d'administration.
- Cliquez sur OK, puis sur Sauvegarder pour sauvegarder la configuration.
Résultats
Vous avez configuré le magasin de certificats de collection pour la liaison de destinataire.
Que faire ensuite
La configuration de destinataire de jeton que vous devez définir doit référencer cette configuration de magasin de certificats.