Configurando o Certificado de Coleta no Servidor ou Nível de Célula
Os armazenamentos de certificados de coleta contêm arquivos de certificado intermediários não confiáveis, que estão aguardando validação. É possível configurar um Armazenamento de certificados de coleção no nível do servidor.
Sobre Esta Tarefa
Nas etapas a seguir, utilize a primeira etapa para configurar o Armazenamento de certificados de coleção para o nível do servidor e utilize a segunda etapa para configurar o Armazenamento de certificados de coleção para o nível de célula:
Procedimento
- Acesse as ligações padrão para o nível do servidor.
- Clique em Servidores > Tipos de Servidor > Servidores de Aplicativos do WebSphere > server_name.
- Em Segurança, clique em Tempo de Execução de Segurança do JAX-WS e JAX-RPC.
Ambiente de Versões Mistas: Em uma célula de nó combinado com um servidor usando o WebSphere Application Server versão 6.1 ou anterior, clique em Serviços da Web: Ligações Padrão de Segurança de Serviços da Web.mixv
- Clique em Segurança > Serviços da Web para acessar as ligações padrão no nível de célula.
- Em Propriedades Adicionais, clique em Armazenamento de Certificados de Coleção.
- Clique em Novo para criar uma configuração de Armazenamento de certificados de coleção, clique em Excluir para excluir uma configuração existente, ou clique no nome
de uma configuração de Armazenamento de certificados de coleção existente para editar suas configurações. Se estiver criando uma nova configuração, digite um nome no campo Nome do Armazenamento de Certificados. Por exemplo, você pode nomear seu armazenamento de certificados como sig_certstore.
O nome do armazenamento de certificados de coleção deve ser exclusivo no nível do servidor de aplicativos. Por exemplo, se você criar o Armazenamento de certificados de coleção para o nível do servidor, o nome do armazenamento deverá ser exclusivo para o nível do servidor. O nome especificado no campo Nome do Armazenamento de Certificados é utilizado por outras configurações para referir-se a um armazenamento de certificados de coleção predefinido. O WebSphere Application Server procura pelo armazenamento de coleção de certificados com base em proximidade.
Por exemplo, se uma ligação de aplicativo referir-se a um Armazenamento de certificados de coleção denominado cert1, o Servidor de Aplicativos procurará cert1 no nível do aplicativo antes de procurar no nível do servidor e, em seguida, no nível de célula.
- Especifique um fornecedor de armazenamento de certificados no campo Fornecedor de
Armazenamento de Certificados. O WebSphere Application Server suporta o provedor de armazenamento de certificados IBMCertPath. Para usar outro fornecedor de armazenamento de certificados, você deve definir a implementação do provedor na lista de provedores
no arquivo
install_dir/properties
profile_root/properties/java.security. Porém, certifique-se de que o seu provedor suporta os mesmos requisitos do algoritmo do caminho do certificado como WebSphere Application Server.
- Clique em OK e Salvar para salvar a configuração.
- Clique no nome da configuração do armazenamento de certificados. Depois de especificar o fornecedor de armazenamento de certificados, você deve especificar o local de uma Certificate Revocation List ou de certificados X.509. No entanto, é possível especificar uma Certificate Revocation List e os certificados X.509 para sua configuração de armazenamento de certificados.
- Em Propriedades Adicionais, clique em Listas de Revogações de Certificados. Para a ligação do gerador, uma CRL (Certificate Revocation List) é utilizada quando está incluída em um token de segurança gerado. Por exemplo, um token de segurança pode ser agrupado em um formato PKCS#7 com uma CRL. Para obter informações adicionais sobre Certificate Revocation Lists, consulte Certificate Revocation List.
- Clique em Novo para especificar um caminho de Certificate Revocation List,
clique em Excluir para excluir uma referência de lista existente, ou clique no nome
de uma referência existente para editar o caminho. Você deve especificar o caminho completo para o local no qual oWebSphere Application Server pode localizar a sua lista de certificados que não são válidos. O WebSphere Application Server usa a lista de revogação de certificado para verificar a validade do certificado do emissor.
Por motivos de portabilidade, é recomendado que você use as variáveis WebSphere Application Server para especificar um caminho relativo para as listas de revogação de certificado. Essa recomendação é especialmente importante quando você estiver trabalhando em um ambiente WebSphere Application Server, Network Deployment.
Por exemplo, é possível utilizar a variável USER_INSTALL_ROOT para definir um caminho, tal como, $USER_INSTALL_ROOT/mycertstore/mycrl1, em que mycertstore representa o nome do armazenamento de certificados e mycrl representa a lista de revogações de certificados. Para obter uma lista de variáveis suportadas, clique em Ambiente > Variáveis do WebSphere no console administrativo. A lista a seguir fornece recomendações paro uso de Certificate Revocation Lists:- Se as CRLs forem incluídas no armazenamento de certificados de coleta, inclua as CRLs para a autoridade de certificado raiz e cada certificado intermediário, se aplicável. Quando a CRL estiver na coleção de armazenamento de certificados, o status de revogações de certificados para cada certificado na cadeia será verificado na CRL do emissor.
- Quando o arquivo CRL for atualizado, a nova CRL não entrará em vigor até que o aplicativo de serviço da Web seja reiniciado.
- Antes da expiração de uma CRL, você deve carregar uma nova CRL para a coleção de armazenamento de certificados para substituir a CRL antiga. Uma CRL expirada no Armazenamento de certificados de coleção resulta em uma falha de construção do caminho do certificado (CertPath).
- Clique em OK e, em seguida, em Salvar para salvar a configuração.
- Retorne ao painel Configuração de Armazenamento de Certificados de Coleta.
- Em Propriedades Adicionais, clique em Certificados X.509. A configuração do certificado X.509 especifica arquivos de certificado intermediários que são utilizados para validação de caminho do certificado de tokens de segurança formatados por X.509 que chegam.
- Clique em Novo para criar uma configuração de certificado X.509, clique em Excluir para excluir uma configuração existente, ou clique no nome de uma configuração de certificado X.509 existente para editar suas configurações. Se estiver criando uma nova configuração, digite um nome no campo Nome do Armazenamento de Certificados.
- Especifique um caminho no campo Caminho do Certificado X.509. Esta
entrada é o caminho absoluto para o local do certificado X.509. Este armazenamento de certificados de coleção é utilizado para validar o caminho do certificado de tokens de segurança formatados
por X.509 que chegam.
É possível usar a variável USER_INSTALL_ROOT como parte do nome do caminho. Por exemplo, você pode digitar: $USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer. Não utilize este caminho de certificado para utilização de produção. Você deve obter o seu próprio certificado X.509 de uma autoridade de certificação antes de colocar o seu ambiente WebSphere Application Server em produção.
Clique em Ambiente > Variáveis do WebSphere no console administrativo para configurar a variável USER_INSTALL_ROOT.
- Clique em OK e, em seguida, em Salvar para salvar a configuração.
- Retorne ao painel de coleção de armzenamento Coleção de Certificados e clique em Atualizar tempo de execução para atualizar o tempo de execução da Segurança de Serviços da Web com as informações de ligação padrão, que estão localizadas no arquivo ws-security.xml. Ao clicar em Atualizar tempo de execução, as mudanças de configuração feitas para outros serviços da Web também são atualizadas no tempo de execução para a Segurança dos Serviços da Web. Os conjuntos de políticas só podem ser usados com aplicativos JAX-WS. Os conjuntos de política não podem ser usados para aplicativos JAX-RPC.
Resultados
Você configurou o Armazenamento de certificados de coleção para o nível do servidor ou de célula.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configcolcertstsvrcell
Nome do arquivo: twbs_configcolcertstsvrcell.html