Configurando o Armazenamento de Certificados de Coleta para a Ligação do Consumidor no Nível do Aplicativo
Um armazenamento de certificado de coleta é uma coleta de certificados não raiz, de CA (Autoridade de Certificação) e CRLs (Certificate Revocation Lists). Essa coleta de certificados de CA e CRLs é utilizada para verificar uma assinatura válida em uma mensagem SOAP digitalmente assinada.
Sobre Esta Tarefa
Procedimento
- Localize o painel de configuração de armazenamento de certificados de coleção
no console administrativo.
- Clique em Aplicativos > Tipos de Aplicativos > Aplicativos Corporativos do WebSphere > application_name.
- Em Módulos, clique em Gerenciar Módulos > URI_name.
- Em Propriedades de Segurança de Serviços da Web, você pode
acessar as informações de armazenamento de certificado para as ligações do consumidor de resposta e consumidor de pedido.
- Para a ligação do consumidor de resposta (receptor), clique em Serviços da Web: Ligações de Segurança do Cliente. Em Ligação do Consumidor de Respostas (Receptor), clique em Editar Customização.
- Para a ligação do consumidor de pedidos (receptor), clique em Serviços da Web: Ligações de Segurança do Servidor. Em Ligação do Consumidor de Respostas (Receptor), clique em Editar Customização.
- Em Propriedades Adicionais, clique em Armazenamento de Certificados de Coleção.
- Clique em Novo para criar uma configuração de Armazenamento de certificados de coleção, clique em Excluir para excluir uma configuração existente, ou clique no nome
de uma configuração de Armazenamento de certificados de coleção existente para editar suas configurações. Se estiver criando uma nova configuração, digite um nome no campo Nome do Armazenamento de Certificados.
O nome do armazenamento de certificados de coleção deve ser exclusivo no nível do servidor de aplicativos. Por exemplo, se você criar o armazenamento de certificados de coleção para o nível do aplicativo, o nome do armazenamento deverá ser exclusivo para o nível do aplicativo. O nome especificado no campo Nome do Armazenamento de Certificados é utilizado por outras configurações para referir-se a um armazenamento de certificados de coleção predefinido. O WebSphere Application Server procura o armazenamento de coleção de certificados com base na proximidade.
Por exemplo, se uma ligação de aplicativo referir-se a um Armazenamento de certificados de coleção denominado cert1, o Servidor de Aplicativos procurará cert1 no nível do aplicativo antes de procurar no nível do servidor e, em seguida, no nível de célula.
- Especifique um fornecedor de armazenamento de certificados no campo Fornecedor de
Armazenamento de Certificados. O WebSphere Application Server suporta o provedor de armazenamento de certificados IBMCertPath. Para usar outro provedor de armazenamento de certificado, você deve definir a
implementação de provedor na lista de provedores no arquivo
install_dir/java/jre/lib/security/java.security
install_dir/properties/java.security
profile_root/properties/java.security. Porém, certifique-se de que o seu provedor suporta os mesmos requisitos do algoritmo do caminho do certificado como WebSphere Application Server.
- Clique em OK e Salvar para salvar a configuração.
- Clique no nome da configuração do armazenamento de certificados. Depois de especificar o fornecedor de armazenamento de certificados, você deve especificar o local de uma Certificate Revocation List ou de certificados X.509. No entanto, é possível especificar uma Certificate Revocation List e os certificados X.509 para sua configuração de armazenamento de certificados.
- Em Propriedades Adicionais, clique em Listas de Revogações de Certificados.
- Clique em Novo para especificar um caminho de Certificate Revocation List,
clique em Excluir para excluir uma referência de lista existente, ou clique no nome
de uma referência existente para editar o caminho. Você deve especificar o caminho completo para o local no qual oWebSphere Application Server pode localizar a sua lista de certificados que não são válidos. Por motivos de portabilidade, é recomendado que você use as variáveis WebSphere Application Server para especificar um caminho relativo para as certificate revocation lists (CRL). Essa recomendação é especialmente importante quando você estiver trabalhando em um ambiente WebSphere Application Server, Network Deployment.
Por exemplo, é possível utilizar
a variável USER_INSTALL_ROOT para definir um caminho como $USER_INSTALL_ROOT/mycertstore/mycrl1.
Para obter uma lista de variáveis suportadas, clique em Ambiente > Variáveis do WebSphere no console administrativo. A lista a seguir fornece recomendação para
utilizar Certificate Revocation Lists:
- Se as CRLs forem incluídas no Armazenamento de certificados de coleção, inclua as CRLs para a autoridade de certificado raiz e cada certificado intermediário, se aplicável. Quando a CRL estiver na coleção de armazenamento de certificados, o status de revogações de certificados para cada certificado na cadeia será verificado na CRL do emissor.
- Quando o arquivo CRL for atualizado, a nova CRL não entrará em vigor até que o aplicativo de serviço da Web seja reiniciado.
- Antes da expiração de uma CRL, você deve carregar uma nova CRL para a coleção de armazenamento de certificados para substituir a CRL antiga. Uma CRL expirada na coleção de armazenamento de certificados resulta em um defeito de construção do caminho do certificado (CertPath).
- Clique em OK e Salvar para salvar a configuração.
- Retorne ao painel Configuração de Armazenamento de Certificados de Coleta. Consulte as primeiras etapas para localizar o painel de coleção de certificados.
- Em Propriedades Adicionais, clique em Certificados X.509.
- Clique em Novo para criar uma nova configuração para certificados X.509, clique em Excluir para excluir uma configuração existente, ou clique no nome de uma configuração de certificado X.509 existente para editar suas definições. Se estiver criando uma nova configuração, digite um nome no campo Nome do Armazenamento de Certificados.
- Especifique um caminho no campo Caminho do Certificado X.509. Esta
entrada é o caminho absoluto para o local dos certificados X.509. O armazenamento
de certificados de coleta é utilizado para validar o caminho do certificado de
tokens de segurança formatados por X.509 que chegam.
É possível utilizar a variável USER_INSTALL_ROOT como parte do nome do caminho. Por exemplo, é possível digitar: USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer. Não utilize este caminho de certificado para utilização de produção. Você deve obter o seu próprio certificado X.509 de uma autoridade de certificação antes de colocar o seu ambiente WebSphere Application Server em produção.
Clique em Ambiente > Variáveis do WebSphere no console administrativo para configurar a variável USER_INSTALL_ROOT.
- Clique em OK e, em seguida, em Salvar para salvar a configuração.
Resultados
O que Fazer Depois


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_colcertstconsapp
Nome do arquivo: twbs_colcertstconsapp.html