Configuration du magasin de certificats de collection pour la liaison de générateur au niveau de l'application
Vous pouvez configurer un certificat de collection pour les liaisons de générateur au niveau de l'application.
Pourquoi et quand exécuter cette tâche
Un magasin de certificats de collection se compose d'un ensemble de certificats non racine, de certificats émis par une autorité d'accréditation (CA) et de listes CRL (Certificate Revocation Lists). Cette collection de certificats de CA et de listes CRL permet de vérifier si une signature numérique est valide dans un message SOAP dotée d'une signature numérique.
Pour configurer un certificat de collection pour les liaisons de générateur au niveau de l'application, procédez comme suit :
Procédure
- Recherchez le panneau de configuration des magasins de certificats de collection dans la console d'administration.
- Cliquez sur Applications > Types d'applications > Applications d'entreprise WebSphere > nom_application.
- Sous Gestion des modules, cliquez sur nom_URI.
- Sous Propriétés de la sécurité des services Web, vous pouvez accéder aux
informations de clés pour les liaisons de générateur de demande et de réponse.
- Pour la liaison de générateur de demande (émetteur), cliquez sur Services Web : Liaisons de sécurité du client. Dans la section Liaison du générateur de demande (émetteur), cliquez sur Editer les valeurs personnalisées.
- Pour la liaison de générateur de réponse (émetteur), cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du générateur de réponse (émetteur), cliquez sur Editer les valeurs personnalisées.
- Dans la section Propriétés supplémentaires, cliquez sur Magasin de certificats de collection.
- Spécifiez le nom du magasin de certificats. Cliquez sur Nouveau pour créer une configuration de magasin de certificats de collection, cochez la case située en regard de la configuration et cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration de magasin de certificats de collection pour modifier ses paramètres. Si vous créez une configuration, entrez son nom dans la zone Nom du magasin de certificats.
Le nom du magasin de certificats de collection doit être unique au niveau du serveur d'applications. Par exemple, si vous créez le magasin de certificats de collection au niveau de l'application, le nom du magasin doit être unique au niveau de l'application. Le nom spécifié dans la zone du nom du magasin de certificats est utilisé par d'autres configurations pour désigner un magasin de certificats de collection prédéfini. WebSphere Application Serverrecherche le magasin de certificats de collection en fonction de la proximité.
Par exemple, si une liaison d'application désigne un magasin de certificats de collection appelé cert1, le serveur d'applications recherche cert1 au niveau de l'application avant d'effectuer la recherche au niveau du serveur, puis de la cellule.
- Indiquez un fournisseur de magasin de certificats dans la zone appropriée. WebSphere
Application Server prend en charge le fournisseur de magasin de certificats IBMCertPath. Pour utiliser un autre fournisseur de magasin de certificats, vous devez définir l'implémentation du fournisseur dans la liste de fournisseurs dans le fichier
install_dir/java/jre/lib/security
racine_profil/properties/java.security. Toutefois, vérifiez que le fournisseur prend en charge les mêmes conditions que l'algorithme du chemin d'accès aux certificats que WebSphere Application Server.
- Cliquez sur OK et sur Sauvegarder pour enregistrer la configuration.
- Cliquez sur le nom de la configuration du magasin de certificats. Après avoir spécifié le fournisseur du magasin de certificats, vous devez indiquer l'emplacement d'une liste de retrait de certificat ou les certificats X.509. Pour la configuration de votre magasin de certificats, vous pouvez cependant spécifier à la fois la liste de retrait de certificat et les certificats X.509.
- Dans la section Propriétés supplémentaires, cliquez sur Listes de retrait de certificats.
- Cliquez sur Nouveau pour spécifier un chemin d'accès à la liste de retrait de certificat, cliquez sur Supprimer pour supprimer une référence à une liste ou cliquez sur le nom d'une référence pour modifier son chemin. Vous devez indiquer le
chemin d'accès complet à l'emplacement où WebSphere
Application Server est susceptible de trouver
la liste des certificats non valides. Pour des raisons de portabilité, il est
recommandé d'utiliser les variables WebSphere
Application Server pour spécifier un chemin d'accès relatif à la liste de retrait de certificats. Cette recommandation est particulièrement importante lorsque vous travaillez dans un environnement WebSphere
Application Server, Network Deployment.
Par exemple, vous pouvez utiliser la variable USER_INSTALL_ROOT pour définir un chemin d'accès, tel que USER_INSTALL_ROOT/mycertstore/mycrl1.
Pour obtenir une liste des variables prises en charge, cliquez sur Environnement > Variables WebSphere dans la console d'administration. Voici une liste de recommandations concernant l'utilisation de listes de retrait de certificats (CRL) :
- Si des listes CRL sont ajoutées au magasin de certificats de collection, ajoutez les listes CRL pour l'autorité de certification racine et, le cas échéant, pour chaque certificat intermédiaire. Lorsque la CRL est dans le magasin de collections de certificats, l'état de révocation (ou retrait) de chaque certificat de la chaîne est vérifié par rapport à la CRL de l'émetteur.
- Lorsque le fichier de la CRL est mis à jour, la nouvelle CRL ne prend effet qu'au redémarrage suivant de l'application de service Web.
- Avant l'expiration d'une CRL, vous devez en charger une nouvelle dans le magasin de collections de certificats afin de remplacer l'ancienne CRL. Une CRL ayant expiré dans le magasin de certificats de collection entraîne l'échec de génération du chemin de certificat (CertPath).
- Cliquez sur OK et sur Sauvegarder pour enregistrer la configuration.
- Revenez au panneau de configuration des magasins de certificats de collection. Pour accéder à ce panneau, procédez comme suit :
- Cliquez sur Applications > Types d'applications > Applications d'entreprise WebSphere > nom_application.
- Sous Gestion des modules, cliquez sur nom_URI.
- Sous Propriétés de la sécurité des services Web, vous pouvez accéder aux
informations de clés pour les liaisons de générateur de demande et de réponse.
- Pour la liaison de générateur de demande (émetteur), cliquez sur Services Web : Liaisons de sécurité du client. Dans la section Liaison du générateur de demande (émetteur), cliquez sur Editer les valeurs personnalisées.
- Pour la liaison de générateur de réponse (émetteur), cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du générateur de réponse (émetteur), cliquez sur Editer les valeurs personnalisées.
- Dans la section Propriétés supplémentaires, cliquez sur Magasin de certificats de collection > nom_magasin_certificats.
- Dans la section Propriétés supplémentaires, cliquez sur Certificats X.509.
- Cliquez sur Nouveau pour créer une configuration de certificats X.509, cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration de certificat X.509 pour modifier ses paramètres. Si vous créez une configuration, entrez son nom dans la zone Nom du magasin de certificats.
- Spécifiez un chemin d'accès dans la zone destinée à contenir le chemin d'accès aux certificats X.509. Cette entrée correspond au chemin d'accès absolu à l'emplacement du certificat X.509. Le magasin de certificats de collection permet de valider le chemin des jetons de sécurité X.509 entrants.
Vous pouvez utiliser la variable USER_INSTALL_ROOT dans le nom du chemin. Par exemple, vous pouvez entrer : USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer. N'utilisez pas ce chemin d'accès aux certificats dans un contexte de production. Vous devez vous procurer votre propre certificat X.509 auprès d'une autorité de certification avant de placer votre environnement WebSphere Application Server en production.
Pour configurer la variable USER_INSTALL_ROOT, cliquez sur Environnement > Variables WebSphere dans la console d'administration.
- Cliquez sur OK, puis sur Sauvegarder pour sauvegarder la configuration.
Résultats
Que faire ensuite
Sous-rubriques
Collection de magasins de certificats de collection
Cette page permet de visualiser une liste des magasins de certificats non sécurisés contenant des fichiers de certificat intermédiaires en attente de validation. La validation peut consister à vérifier si le certificat se trouve dans une liste de retrait de certificats (CRL), s'il n'est pas arrivé à expiration et s'il a été émis par un signataire digne de confiance.Paramètres de configuration du magasin de certificats de collection
Cette page permet d'indiquer le nom et le fournisseur d'un magasin de certificats de collection. Un magasin de certificats de collection se compose d'un ensemble de certificats non racine, de certificats émis par une autorité d'accréditation (CA) et de listes CRL (Certificate Revocation Lists). Cette ensemble de certificats d'autorité de certification et de listes de retrait de certificats permet de vérifier la signature électronique d'un message SOAP.Collection de certificats X.509
Cette page permet d'afficher une liste de fichiers de certificats intermédiaires non dignes de confiance (untrusted). Ce magasin de certificats de collection est utilisé pour la validation du chemin des jetons de sécurité X.509 entrants.Paramètres de configuration des certificats X.509
Utilisez cette page pour spécifier une liste de fichiers de certificats intermédiaires non dignes de confiance. Ce magasin de certificats de collection est utilisé pour la validation du chemin des jetons de sécurité X.509 entrants.Collection de liste de retrait de certificats
Cette page permet de déterminer l'emplacement de la liste de retrait de certificats connues du serveur d'applications. Le serveur consulte cette liste pour déterminer la validité du certificat client. Un certificat qui se trouve dans la liste de retrait de certificat n'a pas forcément expiré mais n'est plus jugé digne de confiance par l'autorité de certification (CA) qui l'a émis. Cette dernière peut ajouter le certificat à la liste CRL si elle estime que l'autorité du client est compromise.Paramètres de configuration de la liste de retrait de certificat
Utilisez cette page pour indiquer une liste des retraits de certificats permettant de vérifier la validité d'un certificat. Le serveur d'applications consulte la liste de retrait de certificat (CRL) pour déterminer la validité du certificat client. Un certificat qui se trouve dans la liste de retrait de certificat n'a pas forcément expiré mais n'est plus jugé digne de confiance par l'autorité de certification (CA) qui l'a émis. Cette dernière peut ajouter le certificat à la liste CRL si elle estime que l'autorité du client est compromise.Collection de magasins de certificats de collection
Cette page permet de visualiser une liste des magasins de certificats non sécurisés contenant des fichiers de certificat intermédiaires en attente de validation. La validation peut consister à vérifier si le certificat se trouve dans une liste de retrait de certificats (CRL), s'il n'est pas arrivé à expiration et s'il a été émis par un signataire digne de confiance.Paramètres de configuration du magasin de certificats de collection
Cette page permet d'indiquer le nom et le fournisseur d'un magasin de certificats de collection. Un magasin de certificats de collection se compose d'un ensemble de certificats non racine, de certificats émis par une autorité d'accréditation (CA) et de listes CRL (Certificate Revocation Lists). Cette ensemble de certificats d'autorité de certification et de listes de retrait de certificats permet de vérifier la signature électronique d'un message SOAP.Collection de certificats X.509
Cette page permet d'afficher une liste de fichiers de certificats intermédiaires non dignes de confiance (untrusted). Ce magasin de certificats de collection est utilisé pour la validation du chemin des jetons de sécurité X.509 entrants.Paramètres de configuration des certificats X.509
Utilisez cette page pour spécifier une liste de fichiers de certificats intermédiaires non dignes de confiance. Ce magasin de certificats de collection est utilisé pour la validation du chemin des jetons de sécurité X.509 entrants.Collection de liste de retrait de certificats
Cette page permet de déterminer l'emplacement de la liste de retrait de certificats connues du serveur d'applications. Le serveur consulte cette liste pour déterminer la validité du certificat client. Un certificat qui se trouve dans la liste de retrait de certificat n'a pas forcément expiré mais n'est plus jugé digne de confiance par l'autorité de certification (CA) qui l'a émis. Cette dernière peut ajouter le certificat à la liste CRL si elle estime que l'autorité du client est compromise.Paramètres de configuration de la liste de retrait de certificat
Utilisez cette page pour indiquer une liste des retraits de certificats permettant de vérifier la validité d'un certificat. Le serveur d'applications consulte la liste de retrait de certificat (CRL) pour déterminer la validité du certificat client. Un certificat qui se trouve dans la liste de retrait de certificat n'a pas forcément expiré mais n'est plus jugé digne de confiance par l'autorité de certification (CA) qui l'a émis. Cette dernière peut ajouter le certificat à la liste CRL si elle estime que l'autorité du client est compromise.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_colcertstgenapp
Nom du fichier : twbs_colcertstgenapp.html