Configurando o Armazenamento de Certificados de Coleção para a Ligação do Gerador no Nível do Aplicativo
É possível configurar um certificado de coleção para as ligações do gerador no nível do aplicativo.
Sobre Esta Tarefa
Um armazenamento de certificados de coleção é uma coleção de certificados de CA (Autoridade de Certificação) não raiz e de CRLs (Certificate Revocation Lists). Essa coleção de certificados de CA e CRLs é utilizada para verificar uma assinatura válida em uma mensagem SOAP digitalmente assinada.
Conclua as seguintes etapas para configurar um certificado de coleção para ligações do gerador no nível do aplicativo:
Procedimento
- Localize o painel de configuração de armazenamento de certificados de coleção
no console administrativo.
- Clique em Aplicativos > Tipos de Aplicativos > Aplicativos Corporativos do WebSphere > application_name.
- Em Gerenciar Módulos, clique em URI_name.
- Em Propriedades de Web Services Security, é possível acessar as informações chave
para as ligações do gerador de pedido e do gerador de resposta.
- Para a ligação do gerador de pedidos (emissor), clique em Serviços da Web: Ligações de Segurança do Cliente. Em Ligação do Gerador de Pedidos (Emissor), clique em Editar Customização.
- Para a ligação do gerador de respostas (emissor), clique em Serviços da Web: Ligações de Segurança do Servidor. Em Ligação do Gerador de Respostas (Emissor), clique em Editar Customização.
- Em Propriedades Adicionais, clique em Armazenamento de Certificados de Coleção.
- Especifique o nome do Armazenamento de certificados. Clique em Novo para
criar uma configuração do Armazenamento de certificados de coleção, selecione a caixa
junto à configuração e clique em Excluir para excluir uma configuração existente,
ou clique no nome de uma configuração do Armazenamento de certificados de coleção existente
para editar suas definições. Se estiver criando uma nova configuração, digite um nome no campo Nome do Armazenamento de Certificados.
O nome do armazenamento de certificados de coleção deve ser exclusivo no nível do servidor de aplicativos. Por exemplo, se você criar o armazenamento de certificados de coleção para o nível do aplicativo, o nome do armazenamento deverá ser exclusivo para o nível do aplicativo. O nome especificado no campo Nome do Armazenamento de Certificados é utilizado por outras configurações para referir-se a um armazenamento de certificados de coleção predefinido. O WebSphere Application Server procura pelo armazenamento de coleção de certificados com base em proximidade.
Por exemplo, se uma ligação de aplicativo referir-se a um Armazenamento de certificados de coleção denominado cert1, o Servidor de Aplicativos procurará cert1 no nível do aplicativo antes de procurar no nível do servidor e, em seguida, no nível de célula.
- Especifique um fornecedor de armazenamento de certificados no campo Fornecedor de
Armazenamento de Certificados. O WebSphere Application Server suporta o provedor de armazenamento de certificados IBMCertPath. Para usar outro fornecedor de armazenamento de certificados, você deve definir a implementação do fornecedor na lista de fornecedores
no arquivo
install_dir/java/jre/lib/security
profile_root/properties/java.security. Porém, certifique-se de que o seu provedor suporta os mesmos requisitos do algoritmo do caminho do certificado como WebSphere Application Server.
- Clique em OK e Salvar para salvar a configuração.
- Clique no nome da configuração do armazenamento de certificados. Depois de especificar o fornecedor de armazenamento de certificados, você deve especificar o local de uma Certificate Revocation List ou de certificados X.509. No entanto, é possível especificar uma Certificate Revocation List e os certificados X.509 para sua configuração de armazenamento de certificados.
- Em Propriedades Adicionais, clique em Listas de Revogações de Certificados.
- Clique em Novo para especificar um caminho de Certificate Revocation List,
clique em Excluir para excluir uma referência de lista existente, ou clique no nome
de uma referência existente para editar o caminho. Você deve especificar o caminho completo para o local no qual oWebSphere Application Server pode localizar a sua lista de certificados que não são válidos. Por motivos de portabilidade, é recomendado que você use as variáveis WebSphere Application Server para especificar um caminho relativo para as certificate revocation lists (CRL). Essa recomendação é especialmente importante quando você estiver trabalhando em um ambiente WebSphere Application Server, Network Deployment.
Por exemplo, é possível utilizar
a variável USER_INSTALL_ROOT para definir um caminho como $USER_INSTALL_ROOT/mycertstore/mycrl1.
Para obter uma lista de variáveis suportadas, clique em Ambiente > Variáveis do WebSphere no console administrativo. A lista a seguir fornece recomendação para
utilizar Certificate Revocation Lists:
- Se as CRLs forem incluídas no Armazenamento de certificados de coleção, inclua as CRLs para a autoridade de certificado raiz e cada certificado intermediário, se aplicável. Quando a CRL estiver na coleção de armazenamento de certificados, o status de revogações de certificados para cada certificado na cadeia será verificado na CRL do emissor.
- Quando o arquivo CRL for atualizado, a nova CRL não entrará em vigor até que o aplicativo de serviço da Web seja reiniciado.
- Antes da expiração de uma CRL, você deve carregar uma nova CRL para a coleção de armazenamento de certificados para substituir a CRL antiga. Uma CRL expirada no Armazenamento de certificados de coleção resulta em uma falha de construção do caminho do certificado (CertPath).
- Clique em OK e Salvar para salvar a configuração.
- Retorne ao painel Configuração de Armazenamento de Certificados de Coleção. Para acessar o painel, conclua as seguintes etapas:
- Clique em Aplicativos > Tipos de Aplicativos > Aplicativos Corporativos do WebSphere > application_name.
- Em Gerenciar Módulos, clique em URI_name.
- Em Propriedades de Web Services Security, é possível acessar as informações chave
para as ligações do gerador de pedido e do gerador de resposta.
- Para a ligação do gerador de pedidos (emissor), clique em Serviços da Web: Ligações de Segurança do Cliente. Em Ligação do Gerador de Pedidos (Emissor), clique em Editar Customização.
- Para a ligação do gerador de respostas (emissor), clique em Serviços da Web: Ligações de Segurança do Servidor. Em Ligação do Gerador de Respostas (Emissor), clique em Editar Customização.
- Em Propriedades Adicionais, clique em Armazenamento de Certificados de Coleta > certificate_store_name.
- Em Propriedades Adicionais, clique em Certificados X.509.
- Clique em Novo para criar uma configuração de certificado X.509, clique em Excluir para excluir uma configuração existente, ou clique no nome de uma configuração de certificado X.509 existente para editar suas definições. Se estiver criando uma nova configuração, digite um nome no campo Nome do Armazenamento de Certificados.
- Especifique um caminho no campo Caminho do Certificado X.509. Esta
entrada é o caminho absoluto para o local do certificado X.509. O armazenamento
de certificados de coleta é utilizado para validar o caminho do certificado de
tokens de segurança formatados por X.509 que chegam.
É possível usar a variável USER_INSTALL_ROOT como parte do nome do caminho. Por exemplo, é possível digitar: USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer. Não utilize este caminho de certificado para utilização de produção. Você deve obter o seu próprio certificado X.509 de uma autoridade de certificação antes de colocar o seu ambiente WebSphere Application Server em produção.
Clique em Ambiente > Variáveis do WebSphere no console administrativo para configurar a variável USER_INSTALL_ROOT.
- Clique em OK e, em seguida, em Salvar para salvar a configuração.
Resultados
O que Fazer Depois
Subtópicos
Coleta de Armazenamentos de Certificados de Coleta
Utilize esta página para visualizar uma lista de armazenamentos de certificados que contêm arquivos de certificado intermediários, não confiáveis que estão aguardando validação. A validação pode consistir em verificar se o certificado está em uma CRL (Certificate Revocation List), verificar se o certificado não está expirado e verificar se o certificado foi emitido por um signatário confiável.Definições de Configuração do Armazenamento de Certificados de Coleção
Utilize esta página para especificar o nome e o fornecedor para um armazenamento de certificados de coleção. Um armazenamento de certificados de coleção é uma coleção de certificados de CA (Autoridade de Certificação) não raiz e de CRLs (Certificate Revocation Lists). Essa coleção de certificados de CA e CRLs é utilizada para verificar a assinatura de uma mensagem SOAP digitalmente assinada.Coleção de Certificados X.509
Utilize esta página para visualizar uma lista de arquivos de certificados intermediários não confiáveis. Este armazenamento de certificados de coleção é utilizado para validação de caminho de certificado de tokens de segurança formatados da entrada X.509.Definições de Configuração do Certificado X.509
Utilize esta página para especificar uma lista de arquivos de certificados não confiáveis, intermediários. Este armazenamento de certificados de coleção é utilizado para validação de caminho de certificado de tokens de segurança formatados da entrada X.509.Coleta de Listas de Revogações de Certificados
Utilize esta página para determinar o local da CRL (Certificate Revocation List) conhecida no servidor de aplicativos. O Servidor de Aplicativos verifica a CRL para determinar a validade do certificado cliente. Um certificado que é encontrado em uma lista de revogações de certificados pode estar expirado, mas não será mais confiável pela CA (Autoridade de Certificação) que emitiu o certificado. A CA pode incluir o certificado na Certificate Revocation List, se considerar que a autoridade do cliente está comprometida.Definições de Configuração da Lista de Revogações de Certificados
Utilize esta página para especificar uma lista de revogações de certificados que verifica a validade de um certificado. O servidor de aplicativos verifica as CRLs (Certificate Revocation Lists) para determinar a validade do certificado cliente. Um certificado que é encontrado em uma lista de revogações de certificados pode estar expirado, mas não será mais confiável pela CA (Autoridade de Certificação) que emitiu o certificado. A CA pode incluir o certificado na Certificate Revocation List, se considerar que a autoridade do cliente está comprometida.Coleta de Armazenamentos de Certificados de Coleta
Utilize esta página para visualizar uma lista de armazenamentos de certificados que contêm arquivos de certificado intermediários, não confiáveis que estão aguardando validação. A validação pode consistir em verificar se o certificado está em uma CRL (Certificate Revocation List), verificar se o certificado não está expirado e verificar se o certificado foi emitido por um signatário confiável.Definições de Configuração do Armazenamento de Certificados de Coleção
Utilize esta página para especificar o nome e o fornecedor para um armazenamento de certificados de coleção. Um armazenamento de certificados de coleção é uma coleção de certificados de CA (Autoridade de Certificação) não raiz e de CRLs (Certificate Revocation Lists). Essa coleção de certificados de CA e CRLs é utilizada para verificar a assinatura de uma mensagem SOAP digitalmente assinada.Coleção de Certificados X.509
Utilize esta página para visualizar uma lista de arquivos de certificados intermediários não confiáveis. Este armazenamento de certificados de coleção é utilizado para validação de caminho de certificado de tokens de segurança formatados da entrada X.509.Definições de Configuração do Certificado X.509
Utilize esta página para especificar uma lista de arquivos de certificados não confiáveis, intermediários. Este armazenamento de certificados de coleção é utilizado para validação de caminho de certificado de tokens de segurança formatados da entrada X.509.Coleta de Listas de Revogações de Certificados
Utilize esta página para determinar o local da CRL (Certificate Revocation List) conhecida no servidor de aplicativos. O Servidor de Aplicativos verifica a CRL para determinar a validade do certificado cliente. Um certificado que é encontrado em uma lista de revogações de certificados pode estar expirado, mas não será mais confiável pela CA (Autoridade de Certificação) que emitiu o certificado. A CA pode incluir o certificado na Certificate Revocation List, se considerar que a autoridade do cliente está comprometida.Definições de Configuração da Lista de Revogações de Certificados
Utilize esta página para especificar uma lista de revogações de certificados que verifica a validade de um certificado. O servidor de aplicativos verifica as CRLs (Certificate Revocation Lists) para determinar a validade do certificado cliente. Um certificado que é encontrado em uma lista de revogações de certificados pode estar expirado, mas não será mais confiável pela CA (Autoridade de Certificação) que emitiu o certificado. A CA pode incluir o certificado na Certificate Revocation List, se considerar que a autoridade do cliente está comprometida.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_colcertstgenapp
Nome do arquivo: twbs_colcertstgenapp.html