Configuration du magasin de certificats de collection pour la liaison de générateur au niveau de l'application

Vous pouvez configurer un certificat de collection pour les liaisons de générateur au niveau de l'application.

Pourquoi et quand exécuter cette tâche

Un magasin de certificats de collection se compose d'un ensemble de certificats non racine, de certificats émis par une autorité d'accréditation (CA) et de listes CRL (Certificate Revocation Lists). Cette collection de certificats de CA et de listes CRL permet de vérifier si une signature numérique est valide dans un message SOAP dotée d'une signature numérique.

Pour configurer un certificat de collection pour les liaisons de générateur au niveau de l'application, procédez comme suit :

Procédure

  1. Recherchez le panneau de configuration des magasins de certificats de collection dans la console d'administration.
    1. Cliquez sur Applications > Types d'applications > Applications d'entreprise WebSphere > nom_application.
    2. Sous Gestion des modules, cliquez sur nom_URI.
    3. Sous Propriétés de la sécurité des services Web, vous pouvez accéder aux informations de clés pour les liaisons de générateur de demande et de réponse.
      • Pour la liaison de générateur de demande (émetteur), cliquez sur Services Web : Liaisons de sécurité du client. Dans la section Liaison du générateur de demande (émetteur), cliquez sur Editer les valeurs personnalisées.
      • Pour la liaison de générateur de réponse (émetteur), cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du générateur de réponse (émetteur), cliquez sur Editer les valeurs personnalisées.
    4. Dans la section Propriétés supplémentaires, cliquez sur Magasin de certificats de collection.
  2. Spécifiez le nom du magasin de certificats. Cliquez sur Nouveau pour créer une configuration de magasin de certificats de collection, cochez la case située en regard de la configuration et cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration de magasin de certificats de collection pour modifier ses paramètres. Si vous créez une configuration, entrez son nom dans la zone Nom du magasin de certificats.

    Le nom du magasin de certificats de collection doit être unique au niveau du serveur d'applications. Par exemple, si vous créez le magasin de certificats de collection au niveau de l'application, le nom du magasin doit être unique au niveau de l'application. Le nom spécifié dans la zone du nom du magasin de certificats est utilisé par d'autres configurations pour désigner un magasin de certificats de collection prédéfini. WebSphere Application Serverrecherche le magasin de certificats de collection en fonction de la proximité.

    Par exemple, si une liaison d'application désigne un magasin de certificats de collection appelé cert1, le serveur d'applications recherche cert1 au niveau de l'application avant d'effectuer la recherche au niveau du serveur, puis de la cellule.

  3. Indiquez un fournisseur de magasin de certificats dans la zone appropriée. WebSphere Application Server prend en charge le fournisseur de magasin de certificats IBMCertPath. Pour utiliser un autre fournisseur de magasin de certificats, vous devez définir l'implémentation du fournisseur dans la liste de fournisseurs dans le fichier [z/OS][AIX Solaris HP-UX Linux Windows]install_dir/java/jre/lib/security[IBM i]racine_profil/properties/java.security. Toutefois, vérifiez que le fournisseur prend en charge les mêmes conditions que l'algorithme du chemin d'accès aux certificats que WebSphere Application Server.
  4. Cliquez sur OK et sur Sauvegarder pour enregistrer la configuration.
  5. Cliquez sur le nom de la configuration du magasin de certificats. Après avoir spécifié le fournisseur du magasin de certificats, vous devez indiquer l'emplacement d'une liste de retrait de certificat ou les certificats X.509. Pour la configuration de votre magasin de certificats, vous pouvez cependant spécifier à la fois la liste de retrait de certificat et les certificats X.509.
  6. Dans la section Propriétés supplémentaires, cliquez sur Listes de retrait de certificats.
  7. Cliquez sur Nouveau pour spécifier un chemin d'accès à la liste de retrait de certificat, cliquez sur Supprimer pour supprimer une référence à une liste ou cliquez sur le nom d'une référence pour modifier son chemin. Vous devez indiquer le chemin d'accès complet à l'emplacement où WebSphere Application Server est susceptible de trouver la liste des certificats non valides. Pour des raisons de portabilité, il est recommandé d'utiliser les variables WebSphere Application Server pour spécifier un chemin d'accès relatif à la liste de retrait de certificats. Cette recommandation est particulièrement importante lorsque vous travaillez dans un environnement WebSphere Application Server, Network Deployment. Par exemple, vous pouvez utiliser la variable USER_INSTALL_ROOT pour définir un chemin d'accès, tel que USER_INSTALL_ROOT/mycertstore/mycrl1. Pour obtenir une liste des variables prises en charge, cliquez sur Environnement > Variables WebSphere dans la console d'administration. Voici une liste de recommandations concernant l'utilisation de listes de retrait de certificats (CRL) :
    • Si des listes CRL sont ajoutées au magasin de certificats de collection, ajoutez les listes CRL pour l'autorité de certification racine et, le cas échéant, pour chaque certificat intermédiaire. Lorsque la CRL est dans le magasin de collections de certificats, l'état de révocation (ou retrait) de chaque certificat de la chaîne est vérifié par rapport à la CRL de l'émetteur.
    • Lorsque le fichier de la CRL est mis à jour, la nouvelle CRL ne prend effet qu'au redémarrage suivant de l'application de service Web.
    • Avant l'expiration d'une CRL, vous devez en charger une nouvelle dans le magasin de collections de certificats afin de remplacer l'ancienne CRL. Une CRL ayant expiré dans le magasin de certificats de collection entraîne l'échec de génération du chemin de certificat (CertPath).
  8. Cliquez sur OK et sur Sauvegarder pour enregistrer la configuration.
  9. Revenez au panneau de configuration des magasins de certificats de collection. Pour accéder à ce panneau, procédez comme suit :
    1. Cliquez sur Applications > Types d'applications > Applications d'entreprise WebSphere > nom_application.
    2. Sous Gestion des modules, cliquez sur nom_URI.
    3. Sous Propriétés de la sécurité des services Web, vous pouvez accéder aux informations de clés pour les liaisons de générateur de demande et de réponse.
      • Pour la liaison de générateur de demande (émetteur), cliquez sur Services Web : Liaisons de sécurité du client. Dans la section Liaison du générateur de demande (émetteur), cliquez sur Editer les valeurs personnalisées.
      • Pour la liaison de générateur de réponse (émetteur), cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du générateur de réponse (émetteur), cliquez sur Editer les valeurs personnalisées.
    4. Dans la section Propriétés supplémentaires, cliquez sur Magasin de certificats de collection > nom_magasin_certificats.
  10. Dans la section Propriétés supplémentaires, cliquez sur Certificats X.509.
  11. Cliquez sur Nouveau pour créer une configuration de certificats X.509, cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration de certificat X.509 pour modifier ses paramètres. Si vous créez une configuration, entrez son nom dans la zone Nom du magasin de certificats.
  12. Spécifiez un chemin d'accès dans la zone destinée à contenir le chemin d'accès aux certificats X.509. Cette entrée correspond au chemin d'accès absolu à l'emplacement du certificat X.509. Le magasin de certificats de collection permet de valider le chemin des jetons de sécurité X.509 entrants.

    Vous pouvez utiliser la variable USER_INSTALL_ROOT dans le nom du chemin. Par exemple, vous pouvez entrer : USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer. N'utilisez pas ce chemin d'accès aux certificats dans un contexte de production. Vous devez vous procurer votre propre certificat X.509 auprès d'une autorité de certification avant de placer votre environnement WebSphere Application Server en production.

    Pour configurer la variable USER_INSTALL_ROOT, cliquez sur Environnement > Variables WebSphere dans la console d'administration.

  13. Cliquez sur OK, puis sur Sauvegarder pour sauvegarder la configuration.

Résultats

Vous avez configuré le magasin de certificats de collection pour la liaison de générateur.

Que faire ensuite

Vous devez spécifier une configuration de magasin de certificats de collection similaire pour le destinataire.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_colcertstgenapp
Nom du fichier : twbs_colcertstgenapp.html