Utilisation du certificat de jeton RSA
Le jeton Rivest Shamir Adleman (RSA) utilise des certificats de la même manière que Secure Sockets Layer (SSL). Cependant, les accréditations établies pour SSL et RSA sont différentes et les certificats RSA ne doivent pas utiliser des certificats SSL, et vice-versa. Les certificats SSL peuvent être utilisés par des clients purs. S'ils sont utilisés pour un mécanisme RSA, ils permettent au client d'envoyer un jeton RSA au serveur. Le mécanisme d'authentification du jeton RSA s'adresse uniquement aux demande de serveur à serveur et ne doit pas être utilisé pour les clients purs. Pour éviter cela, il faut contrôler les certificats utilisés par RSA de sorte à ce qu'ils ne soient jamais diffusés aux clients. Il existe un certificat racine différent pour RSA qui évite d'établir une accréditation avec des clients qui n'ont besoin que de certificats SSL.
Certificat racine RSA
Pour chaque profil, il existe un certificat racine stocké dans le fichier de clés rsatoken-root-key.p12 . L'unique objectif de ce certificat racine RSA est de signer le certificat personnel RSA stocké dans le fichier de clés rsatoken-key.p12. Le certificat racine RSA a une durée de vie par défaut de 15 ans. Le signataire du certificat racine RSA est partagé avec les autres processus pour établir l'accréditation.
${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-root-key.p12
–storepass WebAS -storetype PKCS12
Nom d'alias : root
Type d'entrée : keyEntry
Certificat [1] :
Propriétaire : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Emetteur : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Numéro de série : 3474fccaf789d
Valide du : 11/12/07 2:50 PM jusqu'au : 11/7/27 2:50 PM
Empreintes du certificat :
MD5: 7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87
${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-key.p12
–storepass WebAS -storetype PKCS12
Nom d'alias : default
Type d'entrée : keyEntry
Certificat [1] :
Propriétaire : CN=9.41.62.64, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Emetteur : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Numéro de série : 3475073488921
Valide du : 11/12/07 2:50 PM jusqu'au : 11/11/08 2:50 PM
Empreintes du certificat :
MD5: FF:1C:42:E3:DA:FF:DC:A4:35:B2:33:30:D1:6E:E0:19
SHA1: A4:FB:9D:7B:A1:5B:6A:37:9F:20:BD:B2:BD:98:FA:68:71:57:28:62
Certificat [2] :
Propriétaire : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Emetteur : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode
04, O=IBM, C=US
Numéro de série : 3474fccaf789d
Valide du : 11/12/07 2:50 PM jusqu'au : 11/7/27 2:50 PM
Empreintes du certificat :
MD5: 7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87
L'objectif du certificat personnel RSA est de signer et de chiffrer les informations du jeton RSA. Le certificat personnel RSA a une durée de vie par défaut d'un an car il est utilisé pour signer et chiffrer des données transmises sur une connexion. La regénération du certificat est effectuée par le surveillant d'expiration des certificats, utilisé pour tous les autres certificats du système, y compris les certificats SSL.
L'accréditation du jeton RSA est établie lorsque le rsatoken-trust.p12 du processus cible contient le signataire du certificat racine du processus client qui a envoyé un jeton. Dans le jeton RSA se trouve le certificat public du client, qui doit être validé sur la cible avant d'être utilisé pour déchiffrer des données. La validation du certificat public du client est effectuée par les API CertPath, qui utilisent rsatoken-trust.p12 comme source des certificats pour la validation.
${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-trust.p12
–storepass WebAS -storetype PKCS12
Nom d'alias : root
Type d'entrée : trustedCertEntry
Propriétaire : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Emetteur : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Numéro de série : 3474fccaf789d
Valide du : 11/12/07 2:50 PM jusqu'au : 11/7/27 2:50 PM
Empreintes du certificat :
MD5: 7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87
*******************************************
Nom d'alias : cn=9.41.62.64, ou=root certificate, ou=birkt60jobmgrcell02, ou=birkt
60jobmgr02, o=ibm, c=us
Type d'entrée : trustedCertEntry
Propriétaire : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60JobMgrCell02, OU=BIRKT60JobMgr02, O=IBM, C=US
Emetteur : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60JobMgrCell02, OU=BIRKT60JobMgr02, O=IBM, C=US
Numéro de série : 34cc4c5d71740
Valide du : 11/12/07 4:30 PM jusqu'au : 11/7/27 4:30 PM
Empreintes du certificat :
MD5: AB:65:3A:04:5B:C7:6D:A8:B1:98:B9:7B:65:A8:FA:F8
SHA1: C0:83:FE:D0:B6:30:FB:A1:10:41:4B:8E:50:4B:78:40:0F:E5:E3:35
*******************************************
Nom d'alias : birkt60node19_signer
Type d'entrée : trustedCertEntry
Propriétaire : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60Node15Cell, OU=BIRKT60Node19, O=IBM, C=US
Emetteur : CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60Node15Cell, OU=BIRKT60Node19, O=IBM, C=US
Numéro de série : 34825d997fda3
Valide du : 11/12/07 3:06 PM jusqu'au : 11/7/27 3:06 PM
Empreintes du certificat :
MD5: 66:61:CE:7C:C7:44:8B:A7:23:FF:1B:68:E4:AC:24:55
SHA1: 25:E0:6B:D9:60:BB:67:5B:C6:67:BD:02:2C:54:E3:DA:24:E5:31:A3
*******************************************
Vous pouvez utiliser les outils de gestion de certificats de WebSphere Application Server pour créer un certificat personnel, puis remplacer le certificat personnel RSA dans le rsa-key.p12 et la clé publique dans le rsa-trust.p12 par le nouveau certificat personnel créé. Si vous remplacez le certificat personnel RSA avant la fédération sur un agent administratif ou un gestionnaire de travaux, l'échange des certificats sera fait pour vous. Si vous le faites après la fédération, vous devrez vous assurer que le rsa-trust.p12 de l'agent administratif ou du gestionnaire de travaux est mis à jour avec le signataire pour que votre nouveau certificat puisse établir l'accréditation.