Configuration du magasin de certificats de collection pour la liaison de destinataire au niveau de l'application

Un magasin de certificats de collection (également appelé espace de stockage de certificats) se compose d'un ensemble de certificats émis par une autorité de certification (CA) et de listes de retrait de certificats (CRL). Cette collection de certificats de CA et de listes CRL permet de vérifier si une signature numérique est valide dans un message SOAP dotée d'une signature numérique.

Pourquoi et quand exécuter cette tâche

Un magasin de certificats de collection est une collection de certificats non racine émis par une autorité de certification (CA) et de listes de retrait de certificats (CRL), servant à rechercher une signature valide dans un message SOAP signé de façon numérique. Pour configurer un certificat de collection pour les liaisons de destinataire au niveau de l'application, procédez comme suit :

Procédure

  1. Recherchez le panneau de configuration des magasins de certificats de collection dans la console d'administration.
    1. Cliquez sur Applications > Types d'applications > Applications d'entreprise WebSphere > nom_application.
    2. Sous Modules, cliquez sur Gestion des modules > nom_URI.
    3. Sous les propriétés de la sécurité des Services Web, vous pouvez accéder aux informations relatives au magasin de certificats de collection pour les liaisons de destinataire de réponse et de destinataire de demande.
      • Pour la liaison de destinataire de réponse (récepteur), cliquez sur Services Web : Liaisons de sécurité du client. Sous Liaison du destinataire de la réponse (récepteur), cliquez sur Editer les valeurs personnalisées.
      • Pour la liaison de destinataire (récepteur) de demande, cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du destinataire de la réponse (récepteur), cliquez sur Editer les valeurs personnalisées.
    4. Dans la section Propriétés supplémentaires, cliquez sur Magasin de certificats de collection.
  2. Cliquez sur Nouveau pour créer une configuration de magasin de certificats de collection, cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration de magasin de certificats de collection pour modifier ses paramètres. Si vous créez une configuration, entrez son nom dans la zone Nom du magasin de certificats.

    Le nom du magasin de certificats de collection doit être unique au niveau du serveur d'applications. Par exemple, si vous créez le magasin de certificats de collection au niveau de l'application, le nom du magasin doit être unique au niveau de l'application. Le nom spécifié dans la zone du nom du magasin de certificats est utilisé par d'autres configurations pour désigner un magasin de certificats de collection prédéfini. WebSphere Application Server recherche le magasin de certificats de collection en fonction de la proximité.

    Par exemple, si une liaison d'application désigne un magasin de certificats de collection appelé cert1, le serveur d'applications recherche cert1 au niveau de l'application avant d'effectuer la recherche au niveau du serveur, puis de la cellule.

  3. Indiquez un fournisseur de magasin de certificats dans la zone appropriée. WebSphere Application Server prend en charge le fournisseur de magasin de certificats IBMCertPath. Pour utiliser un autre fournisseur de magasin de certificats, vous devez définir l'implémentation du fournisseur dans la liste de fournisseurs dans le fichier [AIX Solaris HP-UX Linux Windows]install_dir/java/jre/lib/security/java.security[z/OS]install_dir/properties/java.security[IBM i]racine_profil/properties/java.security. Toutefois, vérifiez que le fournisseur prend en charge les mêmes conditions que l'algorithme du chemin d'accès aux certificats que WebSphere Application Server.
  4. Cliquez sur OK et sur Sauvegarder pour enregistrer la configuration.
  5. Cliquez sur le nom de la configuration du magasin de certificats. Après avoir spécifié le fournisseur du magasin de certificats, vous devez indiquer l'emplacement d'une liste de retrait de certificat ou les certificats X.509. Pour la configuration de votre magasin de certificats, vous pouvez cependant spécifier à la fois la liste de retrait de certificat et les certificats X.509.
  6. Dans la section Propriétés supplémentaires, cliquez sur Listes de retrait de certificats.
  7. Cliquez sur Nouveau pour spécifier un chemin d'accès à la liste de retrait de certificat, cliquez sur Supprimer pour supprimer une référence à une liste ou cliquez sur le nom d'une référence pour modifier son chemin. Vous devez indiquer le chemin d'accès complet à l'emplacement où WebSphere Application Server est susceptible de trouver la liste des certificats non valides. Pour des raisons de portabilité, il est recommandé d'utiliser les variables WebSphere Application Server pour spécifier un chemin d'accès relatif à la liste de retrait de certificats. Cette recommandation est particulièrement importante lorsque vous travaillez dans un environnement WebSphere Application Server, Network Deployment. Par exemple, vous pouvez utiliser la variable USER_INSTALL_ROOT pour définir un chemin d'accès, tel que USER_INSTALL_ROOT/mycertstore/mycrl1. Pour obtenir une liste des variables prises en charge, cliquez sur Environnement > Variables WebSphere dans la console d'administration. Voici une liste de recommandations concernant l'utilisation de listes de retrait de certificats (CRL) :
    • Si des listes CRL sont ajoutées au magasin de certificats de collection, ajoutez les listes CRL pour l'autorité de certification racine et, le cas échéant, pour chaque certificat intermédiaire. Lorsque la CRL est dans le magasin de collections de certificats, l'état de révocation (ou retrait) de chaque certificat de la chaîne est vérifié par rapport à la CRL de l'émetteur.
    • Lorsque le fichier de la CRL est mis à jour, la nouvelle CRL ne prend effet qu'au redémarrage suivant de l'application de service Web.
    • Avant l'expiration d'une CRL, vous devez en charger une nouvelle dans le magasin de collections de certificats afin de remplacer l'ancienne CRL. La présence, dans le magasin de collections de certificats, d'une CRL ayant expiré se traduit par un échec de génération du chemin de certificat (CertPath).
  8. Cliquez sur OK et sur Sauvegarder pour enregistrer la configuration.
  9. Revenez au panneau de configuration des magasins de certificats de collection. Pour trouver le panneau du magasin de certificats de collection, voir les premières étapes.
  10. Dans la section Propriétés supplémentaires, cliquez sur Certificats X.509.
  11. Cliquez sur Nouveau pour créer une configuration de certificats X.509, cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration de certificat X.509 pour modifier ses paramètres. Si vous créez une configuration, entrez son nom dans la zone Nom du magasin de certificats.
  12. Spécifiez un chemin d'accès dans la zone destinée à contenir le chemin d'accès aux certificats X.509. Cette entrée correspond au chemin d'accès absolu à l'emplacement des certificats X.509. Le magasin de certificats de collection permet de valider le chemin des jetons de sécurité X.509 entrants.

    Vous pouvez utiliser la variable USER_INSTALL_ROOT dans le chemin d'accès. Par exemple, vous pouvez entrer : USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer. N'utilisez pas ce chemin d'accès aux certificats dans un contexte de production. Vous devez vous procurer votre propre certificat X.509 auprès d'une autorité de certification avant de placer votre environnement WebSphere Application Server en production.

    Pour configurer la variable USER_INSTALL_ROOT, cliquez sur Environnement > Variables WebSphere dans la console d'administration.

  13. Cliquez sur OK, puis sur Sauvegarder pour sauvegarder la configuration.

Résultats

Vous avez configuré le magasin de certificats de collection pour la liaison de destinataire.

Que faire ensuite

La configuration de destinataire de jeton que vous devez définir doit référencer cette configuration de magasin de certificats.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_colcertstconsapp
Nom du fichier : twbs_colcertstconsapp.html