在应用程序级别为生成器绑定配置证书集合库
您可以在应用程序级别为生成器绑定配置集合证书。
关于此任务
证书集合库是非根的认证中心 (CA) 证书和证书撤销列表 (CRL) 的集合。CA 证书和 CRL 的此集合用于检查以数字方式签署的 SOAP 消息的签名是否有效。
请完成下列步骤以在应用程序级别上配置生成器绑定的集合证书:
过程
- 在管理控制台中找到“证书集合库配置”面板。
- 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name。
- 在“管理模块”下面,单击 URI_name。
- 在“Web Service 安全性属性”下面,您可以访问请求生成者绑定和响应生成者绑定的密钥信息。
- 对于“请求生成者(发送方)绑定”,单击 Web Service:客户机安全性绑定。在“请求生成器(发送方)绑定”下,单击编辑定制。
- 对于“响应生成者(发送方)绑定”,单击 Web Service:服务器安全性绑定。在“响应生成器(发送方)绑定”下,单击编辑定制。
- 在“其他属性”下,单击证书集合库。
- 指定证书库名称。 单击新建以创建证书集合库配置,选中配置旁边的框并单击删除以删除现有配置,或者单击现有证书集合库配置的名称以编辑其设置。如果您正在创建新配置,那么在“证书库名称”字段中输入名称。
证书集合库的名称在应用程序服务器的级别必须唯一。例如,如果您创建应用程序级别的证书集合库,那么库名在应用程序级别必须唯一。其他配置使用“证书库名称”字段中指定的名称来引用预定义的证书集合库。WebSphere® Application Server 根据近似性搜索证书集合库。
例如,如果应用程序绑定引用名为 cert1 的证书集合库,那么应用程序服务器在搜索服务器级别前先在应用程序级别上搜索 cert1,然后搜索单元级别。
- 在“证书库提供程序”字段中指定证书库提供程序。 WebSphere Application Server 支持 IBMCertPath 证书库提供商。要使用另一个证书库提供程序,必须在
install_dir/java/jre/lib/security
profile_root/properties/java.security 文件的提供程序列表中定义提供程序实现。但是,请确保提供程序支持与 WebSphere Application Server 相同的证书路径算法需求。
- 单击确定和保存以保存配置。
- 单击证书库配置的名称。 指定证书库提供程序之后,您必须指定证书撤销列表的位置或者 X.509 证书的位置。但是,您可以为证书库配置指定证书撤销列表和 X.509 证书。
- 在“其他属性”下面,单击证书撤销列表。
- 单击新建以指定证书撤销列表路径,单击删除以删除现有的列表引用,或者单击现有引用的名称以编辑路径。 您必须指定 WebSphere Application Server 可以查找无效证书列表的位置的标准路径。出于可移植性原因,建议您使用 WebSphere Application Server 变量来指定证书撤销列表 (CRL) 的相对路径。当您在 WebSphere Application Server Network Deployment 环境中工作时,此建议尤为重要。
例如,您可以使用 USER_INSTALL_ROOT 变量来定义路径,如 USER_INSTALL_ROOT/mycertstore/mycrl1。要获取受支持的变量的列表,单击管理控制台中的环境 > WebSphere 变量。以下列表提供有关使用证书撤销列表的建议:
- 如果已将 CRL 添加到证书集合库,那么为根认证中心和每个中间证书(如果适用)添加 CRL。当 CRL 在证书集合库中时, 将对照签发者的 CRL 来检查证书链中每个证书的撤销状态。
- 在更新了 CRL 文件的情况下,只有在重新启动 Web Service 应用程序后,新的 CRL 才生效。
- CRL 到期前,必须将新的 CRL 装入证书集合库以替换旧的 CRL。证书集合库中到期的 CRL 将导致证书路径 (CertPath) 构建故障。
- 单击确定和保存以保存配置。
- 返回到“证书集合库配置”面板。 要访问此面板,请完成下列步骤:
- 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name。
- 在“管理模块”下面,单击 URI_name。
- 在“Web Service 安全性属性”下,您可以访问请求生成器绑定和响应生成器绑定的密钥信息。
- 对于“请求生成者(发送方)绑定”,单击 Web Service:客户机安全性绑定。在“请求生成器(发送方)绑定”下,单击编辑定制。
- 对于“响应生成者(发送方)绑定”,单击 Web Service:服务器安全性绑定。在“响应生成器(发送方)绑定”下,单击编辑定制。
- 在“其他属性”下,单击证书集合库 > certificate_store_name。
- 在“其他属性”下面,单击X.509 证书。
- 单击新建以创建 X.509 证书配置,单击删除以删除现有配置,或者单击现有 X.509 证书配置的名称以编辑其设置。 如果您正在创建新配置,那么在“证书库名称”字段中输入名称。
- 在“X.509 证书路径”字段中指定路径。 此条目是到 X.509 证书的位置的绝对路径。此证书集合库用于验证入局 X.509 格式的安全性令牌的证书路径。
您可以将 USER_INSTALL_ROOT 变量用作路径名的一部分。例如,可输入 USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer。请不要将此证书路径供生产使用。您必须在将 WebSphere Application Server 环境用于生产前,从认证中心获取自己的 X.509 证书。
在管理控制台中单击环境 > WebSphere 变量以配置 USER_INSTALL_ROOT 变量。
- 单击确定,然后单击保存以保存配置。
结果
下一步做什么
子主题
证书集合库集合
使用此页面来查看证书库的列表,该列表包含等待验证的不可信中介证书文件。验证可以包括:检查证书是否在证书撤销列表 (CRL) 上,检查证书是否未到期,以及检查证书是否由可信的签署者发出。证书集合库配置设置
使用此页面为证书集合库指定名称和提供程序。证书集合库是非根的认证中心 (CA) 证书和证书撤销列表 (CRL) 的集合。CA 证书和 CRL 的此集合用来检查以数字签署的 SOAP 消息的签名。X.509证书集合
使用此页面来查看不可信的中间证书文件列表。此证书集合库用来验证 X.509 格式的传入安全性令牌的证书路径。X.509 证书配置设置
使用此页面来指定不可信的中间证书文件列表。此证书集合库用来验证 X.509 格式的传入安全性令牌的证书路径。证书撤销列表集合
使用此页面来确定应用程序服务器已知的证书撤销列表 (CRL) 的位置。Application Server 检查该 CRL 以确定客户机证书的有效性。在证书撤销列表中找到的证书可能未到期,但是不再被发出证书的认证中心 (CA) 所信任。如果 CA 认为客户机权限受到危害,那么它可能将该证书添加到证书撤销列表。证书撤销列表配置设置
使用此页面来指定用来检查证书有效性的证书撤销列表。应用程序服务器检查证书撤销列表 (CRL) 以确定客户机证书的有效性。在证书撤销列表中找到的证书可能未到期,但是不再被发出证书的认证中心 (CA) 所信任。如果 CA 认为客户机权限受到危害,那么它可能将该证书添加到证书撤销列表。证书集合库集合
使用此页面来查看证书库的列表,该列表包含等待验证的不可信中介证书文件。验证可以包括:检查证书是否在证书撤销列表 (CRL) 上,检查证书是否未到期,以及检查证书是否由可信的签署者发出。证书集合库配置设置
使用此页面为证书集合库指定名称和提供程序。证书集合库是非根的认证中心 (CA) 证书和证书撤销列表 (CRL) 的集合。CA 证书和 CRL 的此集合用来检查以数字签署的 SOAP 消息的签名。X.509证书集合
使用此页面来查看不可信的中间证书文件列表。此证书集合库用来验证 X.509 格式的传入安全性令牌的证书路径。X.509 证书配置设置
使用此页面来指定不可信的中间证书文件列表。此证书集合库用来验证 X.509 格式的传入安全性令牌的证书路径。证书撤销列表集合
使用此页面来确定应用程序服务器已知的证书撤销列表 (CRL) 的位置。Application Server 检查该 CRL 以确定客户机证书的有效性。在证书撤销列表中找到的证书可能未到期,但是不再被发出证书的认证中心 (CA) 所信任。如果 CA 认为客户机权限受到危害,那么它可能将该证书添加到证书撤销列表。证书撤销列表配置设置
使用此页面来指定用来检查证书有效性的证书撤销列表。应用程序服务器检查证书撤销列表 (CRL) 以确定客户机证书的有效性。在证书撤销列表中找到的证书可能未到期,但是不再被发出证书的认证中心 (CA) 所信任。如果 CA 认为客户机权限受到危害,那么它可能将该证书添加到证书撤销列表。
相关任务:


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_colcertstgenapp
文件名:twbs_colcertstgenapp.html