在应用程序级别为生成器绑定配置证书集合库

您可以在应用程序级别为生成器绑定配置集合证书。

关于此任务

证书集合库是非根的认证中心 (CA) 证书和证书撤销列表 (CRL) 的集合。CA 证书和 CRL 的此集合用于检查以数字方式签署的 SOAP 消息的签名是否有效。

请完成下列步骤以在应用程序级别上配置生成器绑定的集合证书:

过程

  1. 在管理控制台中找到“证书集合库配置”面板。
    1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name
    2. 在“管理模块”下面,单击 URI_name
    3. 在“Web Service 安全性属性”下面,您可以访问请求生成者绑定和响应生成者绑定的密钥信息。
      • 对于“请求生成者(发送方)绑定”,单击 Web Service:客户机安全性绑定。在“请求生成器(发送方)绑定”下,单击编辑定制
      • 对于“响应生成者(发送方)绑定”,单击 Web Service:服务器安全性绑定。在“响应生成器(发送方)绑定”下,单击编辑定制
    4. 在“其他属性”下,单击证书集合库
  2. 指定证书库名称。 单击新建以创建证书集合库配置,选中配置旁边的框并单击删除以删除现有配置,或者单击现有证书集合库配置的名称以编辑其设置。如果您正在创建新配置,那么在“证书库名称”字段中输入名称。

    证书集合库的名称在应用程序服务器的级别必须唯一。例如,如果您创建应用程序级别的证书集合库,那么库名在应用程序级别必须唯一。其他配置使用“证书库名称”字段中指定的名称来引用预定义的证书集合库。WebSphere® Application Server 根据近似性搜索证书集合库。

    例如,如果应用程序绑定引用名为 cert1 的证书集合库,那么应用程序服务器在搜索服务器级别前先在应用程序级别上搜索 cert1,然后搜索单元级别。

  3. 在“证书库提供程序”字段中指定证书库提供程序。 WebSphere Application Server 支持 IBMCertPath 证书库提供商。要使用另一个证书库提供程序,必须在 [z/OS][AIX Solaris HP-UX Linux Windows]install_dir/java/jre/lib/security[IBM i]profile_root/properties/java.security 文件的提供程序列表中定义提供程序实现。但是,请确保提供程序支持与 WebSphere Application Server 相同的证书路径算法需求。
  4. 单击确定保存以保存配置。
  5. 单击证书库配置的名称。 指定证书库提供程序之后,您必须指定证书撤销列表的位置或者 X.509 证书的位置。但是,您可以为证书库配置指定证书撤销列表和 X.509 证书。
  6. 在“其他属性”下面,单击证书撤销列表
  7. 单击新建以指定证书撤销列表路径,单击删除以删除现有的列表引用,或者单击现有引用的名称以编辑路径。 您必须指定 WebSphere Application Server 可以查找无效证书列表的位置的标准路径。出于可移植性原因,建议您使用 WebSphere Application Server 变量来指定证书撤销列表 (CRL) 的相对路径。当您在 WebSphere Application Server Network Deployment 环境中工作时,此建议尤为重要。 例如,您可以使用 USER_INSTALL_ROOT 变量来定义路径,如 USER_INSTALL_ROOT/mycertstore/mycrl1。要获取受支持的变量的列表,单击管理控制台中的环境 > WebSphere 变量。以下列表提供有关使用证书撤销列表的建议:
    • 如果已将 CRL 添加到证书集合库,那么为根认证中心和每个中间证书(如果适用)添加 CRL。当 CRL 在证书集合库中时, 将对照签发者的 CRL 来检查证书链中每个证书的撤销状态。
    • 在更新了 CRL 文件的情况下,只有在重新启动 Web Service 应用程序后,新的 CRL 才生效。
    • CRL 到期前,必须将新的 CRL 装入证书集合库以替换旧的 CRL。证书集合库中到期的 CRL 将导致证书路径 (CertPath) 构建故障。
  8. 单击确定保存以保存配置。
  9. 返回到“证书集合库配置”面板。 要访问此面板,请完成下列步骤:
    1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name
    2. 在“管理模块”下面,单击 URI_name
    3. 在“Web Service 安全性属性”下,您可以访问请求生成器绑定和响应生成器绑定的密钥信息。
      • 对于“请求生成者(发送方)绑定”,单击 Web Service:客户机安全性绑定。在“请求生成器(发送方)绑定”下,单击编辑定制
      • 对于“响应生成者(发送方)绑定”,单击 Web Service:服务器安全性绑定。在“响应生成器(发送方)绑定”下,单击编辑定制
    4. 在“其他属性”下,单击证书集合库 > certificate_store_name
  10. 在“其他属性”下面,单击X.509 证书
  11. 单击新建以创建 X.509 证书配置,单击删除以删除现有配置,或者单击现有 X.509 证书配置的名称以编辑其设置。 如果您正在创建新配置,那么在“证书库名称”字段中输入名称。
  12. 在“X.509 证书路径”字段中指定路径。 此条目是到 X.509 证书的位置的绝对路径。此证书集合库用于验证入局 X.509 格式的安全性令牌的证书路径。

    您可以将 USER_INSTALL_ROOT 变量用作路径名的一部分。例如,可输入 USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer。请不要将此证书路径供生产使用。您必须在将 WebSphere Application Server 环境用于生产前,从认证中心获取自己的 X.509 证书。

    在管理控制台中单击环境 > WebSphere 变量以配置 USER_INSTALL_ROOT 变量。

  13. 单击确定,然后单击保存以保存配置。

结果

您已经为生成器绑定配置证书集合库。

下一步做什么

您必须为使用者指定类似的证书集合库配置。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_colcertstgenapp
文件名:twbs_colcertstgenapp.html