Configuration du certificat de collection au niveau du serveur ou de la cellule

Les magasins de certificats de collection contiennent des fichiers de certificats intermédiaires non sécurisés en attente de validation. Vous pouvez configurer un magasin de certificats de collection au niveau du serveur.

Pourquoi et quand exécuter cette tâche

La validation peut consister à vérifier si une signature est valide dans un message SOAP numériquement signé afin de déterminer si le certificat se trouve dans une liste de retrait de certificat (CRL), s'il n'est pas arrivé à expiration et s'il a été émis par un signataire digne de confiance.

Dans la procédure ci-dessous, la première étape permet de configurer le magasin de certificats de collection au niveau du serveur et la deuxième permet de le configurer au niveau de la cellule.

Procédure

  1. Accédez aux liaisons par défaut au niveau du serveur.
    1. Cliquez sur Serveurs > Types de serveurs > Serveurs d'applications WebSphere > nom_serveur.
    2. Sous Sécurité, cliquez sur Module d'exécution de sécurité JAX-WS et JAX-RPC.
      Environnement de version mixte Environnement de version mixte: Dans une cellule de noeud mixte comportant un serveur WebSphere Application Server version 6.1 ou antérieure, cliquez sur Services Web : Liaisons par défaut pour la sécurité des Services Web.mixv
  2. Sélectionnez Sécurité > Services Web pour accéder aux liaisons par défaut au niveau de la cellule.
  3. Dans la section Propriétés supplémentaires, cliquez sur Magasin de certificats de collection.
  4. Cliquez sur Nouveau pour créer une configuration de magasin de certificats de collection, cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration de magasin de certificats de collection pour modifier ses paramètres. Si vous créez une configuration, entrez son nom dans la zone Nom du magasin de certificats. Par exemple, vous pouvez appeler le magasin de certificats sig_certstore.

    Le nom du magasin de certificats de collection doit être unique au niveau du serveur d'applications. Par exemple, si vous créez le magasin de certificats de collection au niveau du serveur, le nom du magasin doit être unique au niveau du serveur. Le nom spécifié dans la zone du nom du magasin de certificats est utilisé par d'autres configurations pour désigner un magasin de certificats de collection prédéfini. WebSphere Application Server recherche le magasin de certificats de collection en fonction de la proximité.

    Par exemple, si une liaison d'application désigne un magasin de certificats de collection appelé cert1, le serveur d'applications recherche cert1 au niveau de l'application avant d'effectuer la recherche au niveau du serveur, puis de la cellule.

  5. Indiquez un fournisseur de magasin de certificats dans la zone appropriée. WebSphere Application Server prend en charge le fournisseur de magasin de certificats IBMCertPath. Pour utiliser un autre fournisseur de magasin de certificats, vous devez définir l'implémentation du fournisseur dans la liste de fournisseurs dans le fichier [z/OS][AIX Solaris HP-UX Linux Windows]install_dir/properties[IBM i]racine_profil/properties/java.security. Toutefois, vérifiez que le fournisseur prend en charge les mêmes conditions que l'algorithme du chemin d'accès aux certificats que WebSphere Application Server.
  6. Cliquez sur OK et sur Sauvegarder pour enregistrer la configuration.
  7. Cliquez sur le nom de la configuration du magasin de certificats. Après avoir spécifié le fournisseur du magasin de certificats, vous devez indiquer l'emplacement d'une liste de retrait de certificat ou les certificats X.509. Pour la configuration de votre magasin de certificats, vous pouvez cependant spécifier à la fois la liste de retrait de certificat et les certificats X.509.
  8. Dans la section Propriétés supplémentaires, cliquez sur Listes de retrait de certificats. Pour la liaison de générateur, une liste de retrait de certificat (CRL) est utilisée lorsqu'elle est incluse dans un jeton de sécurité généré. Par exemple, un jeton de sécurité peut être encapsulé au format PKCS#7 avec une liste CRL. Pour plus d'informations sur les listes de retrait de certificats, voir Liste de retrait de certificat.
  9. Cliquez sur Nouveau pour spécifier un chemin d'accès à la liste de retrait de certificat, cliquez sur Supprimer pour supprimer une référence à une liste ou cliquez sur le nom d'une référence pour modifier son chemin. Vous devez indiquer le chemin d'accès complet à l'emplacement où WebSphere Application Server est susceptible de trouver la liste des certificats non valides. WebSphere Application Server utilise la liste de retrait de certificats pour vérifier la validité du certificat de l'expéditeur.

    Pour des raisons de portabilité, il est recommandé d'utiliser les variables WebSphere Application Server pour spécifier un chemin d'accès relatif à la liste de retrait de certificats. Cette recommandation est particulièrement importante lorsque vous travaillez dans un environnement WebSphere Application Server, Network Deployment.

    Par exemple, vous pouvez utiliser la variable USER_INSTALL_ROOT pour définir un chemin d'accès tel que $USER_INSTALL_ROOT/magasincert/crl1magasincert correspond au nom du magasin de certificats et crl1 correspond à la liste de retrait de certificat. Pour obtenir une liste des variables prises en charge, cliquez sur Environnement > Variables WebSphere dans la console d'administration. Voici une liste de recommandations concernant l'utilisation de listes de retrait de certificats (CRL) :
    • Si des listes CRL sont ajoutées au magasin de certificats de collection, ajoutez les listes CRL pour l'autorité de certification racine et, le cas échéant, pour chaque certificat intermédiaire. Lorsque la CRL est dans le magasin de collections de certificats, l'état de révocation (ou retrait) de chaque certificat de la chaîne est vérifié par rapport à la CRL de l'émetteur.
    • Lorsque le fichier de la CRL est mis à jour, la nouvelle CRL ne prend effet qu'au redémarrage suivant de l'application de services Web.
    • Avant l'expiration d'une CRL, vous devez en charger une nouvelle dans le magasin de collections de certificats afin de remplacer l'ancienne CRL. Une CRL ayant expiré dans le magasin de certificats de collection entraîne l'échec de génération du chemin de certificat (CertPath).
  10. Cliquez sur OK, puis sur Sauvegarder pour enregistrer la configuration.
  11. Revenez au panneau de configuration des magasins de certificats de collection.
  12. Dans la section Propriétés supplémentaires, cliquez sur Certificats X.509. La configuration de certificats X.509 spécifie les fichiers de certificats intermédiaires utilisés pour la validation du chemin des jetons de sécurité X.509 entrants.
  13. Cliquez sur Nouveau pour créer une configuration de certificats X.509, cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration de certificat X.509 pour modifier ses paramètres. Si vous créez une configuration, entrez son nom dans la zone Nom du magasin de certificats.
  14. Spécifiez un chemin d'accès dans la zone destinée à contenir le chemin d'accès aux certificats X.509. Cette entrée correspond au chemin d'accès absolu à l'emplacement du certificat X.509. Le magasin de certificats de collection permet de valider le chemin des jetons de sécurité X.509 entrants.

    Vous pouvez utiliser la variable USER_INSTALL_ROOT dans le nom du chemin. Par exemple, vous pouvez entrer : $USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer. N'utilisez pas ce chemin d'accès aux certificats dans un contexte de production. Vous devez vous procurer votre propre certificat X.509 auprès d'une autorité de certification avant de placer votre environnement WebSphere Application Server en production.

    Pour configurer la variable USER_INSTALL_ROOT, cliquez sur Environnement > Variables WebSphere dans la console d'administration.

  15. Cliquez sur OK, puis sur Sauvegarder pour sauvegarder la configuration.
  16. Revenez au panneau des magasins de certificats de collection et cliquez sur Mettre à jour la phase d'exécution pour mettre à jour l'environnement d'exécution de la sécurité des services Web avec les informations de liaison par défaut qui se trouvent dans le fichier ws-security_security.xml. Lorsque vous cliquez sur Mettre à jour l'exécution, les modifications de configuration apportées aux autres services web sont également mises à jour dans l'environnement d'exécution de la sécurité des services Web. Les ensembles de règles ne peuvent être utilisés qu'avec les applications JAX-WS. Ils ne peuvent pas être utilisés pour les applications JAX-RPC.

Résultats

Vous avez configuré le magasin de certificats de collection au niveau du serveur ou de la cellule.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configcolcertstsvrcell
Nom du fichier : twbs_configcolcertstsvrcell.html