RSA 令牌证书使用
Rivest Shamir Adleman (RSA) 令牌使用证书的方式与安全套接字层 (SSL) 使用证书的方式类似。但是,为 SSL 和 RSA 建立的信任不同,并且 RSA 证书不应使用 SSL 证书,反之亦然。SSL 证书可由纯客户机使用,当用于 RSA 机制时,将允许客户机向服务器发送 RSA 令牌。RSA 令牌认证机制专门用于服务器到服务器请求,并不应由纯客户机使用。防止此问题的方式是控制由 RSA 使用的证书,以便使这些证书从不会分发到任何客户机。有一种不同的 RSA 根证书,可阻止与仅需要 SSL 证书的客户机建立信任。
RSA 根证书
对于每个概要文件,rsatoken-root-key.p12 密钥库中都存储了一个根证书。此 RSA 根证书的唯一目的是签署存储在 rsatoken-key.p12 密钥库中的 RSA 个人证书。RSA 根证书的缺省生存期是 15 年。RSA 根证书中的签署者与其他进程共享以建立信任。
${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-root-key.p12
–storepass WebAS -storetype PKCS12
Alias name: root
Entry type: keyEntry
Certificate[1]:
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Serial number: 3474fccaf789d
Valid from: 11/12/07 2:50 PM until: 11/7/27 2:50 PM
Certificate fingerprints:
MD5: 7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87
${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-key.p12
–storepass WebAS -storetype PKCS12
Alias name: default
Entry type: keyEntry
Certificate[1]:
Owner: CN=9.41.62.64, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Serial number: 3475073488921
Valid from: 11/12/07 2:50 PM until: 11/11/08 2:50 PM
Certificate fingerprints:
MD5: FF:1C:42:E3:DA:FF:DC:A4:35:B2:33:30:D1:6E:E0:19
SHA1: A4:FB:9D:7B:A1:5B:6A:37:9F:20:BD:B2:BD:98:FA:68:71:57:28:62
Certificate[2]:
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode
04, O=IBM, C=US
Serial number: 3474fccaf789d
Valid from: 11/12/07 2:50 PM until: 11/7/27 2:50 PM
Certificate fingerprints:
MD5: 7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87
RSA 个人证书的用途是签署及加密 RSA 令牌中的信息。RSA 个人证书的缺省生存期为一年,因为它用于签署及加密通过连线传输的数据。通过证书到期监视器刷新该证书,该监视器用于系统中的任何其他证书,包括 SSL 证书。
当目标进程的 rsatoken-trust.p12 包含发送令牌的客户机进程的根证书签署者时,将建立 RSA 令牌信任。RSA 令牌中有客户机的公用证书,在为数据解密之前,必须在目标处验证该证书。验证客户机公用证书的操作使用 CertPath API 执行,这些 API 将 rsatoken-trust.p12 用作验证期间使用的证书源。
${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-trust.p12
–storepass WebAS -storetype PKCS12
Alias name: root
Entry type: trustedCertEntry
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Serial number: 3474fccaf789d
Valid from: 11/12/07 2:50 PM until: 11/7/27 2:50 PM
Certificate fingerprints:
MD5: 7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87
*******************************************
Alias name: cn=9.41.62.64, ou=root certificate, ou=birkt60jobmgrcell02, ou=birkt
60jobmgr02, o=ibm, c=us
Entry type: trustedCertEntry
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60JobMgrCell02, OU=BIRKT60JobMgr02, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60JobMgrCell02, OU=BIRKT60JobMgr02, O=IBM, C=US
Serial number: 34cc4c5d71740
Valid from: 11/12/07 4:30 PM until: 11/7/27 4:30 PM
Certificate fingerprints:
MD5: AB:65:3A:04:5B:C7:6D:A8:B1:98:B9:7B:65:A8:FA:F8
SHA1: C0:83:FE:D0:B6:30:FB:A1:10:41:4B:8E:50:4B:78:40:0F:E5:E3:35
*******************************************
Alias name: birkt60node19_signer
Entry type: trustedCertEntry
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60Node15Cell, OU=BIRKT60Node19, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60Node15Cell, OU=BIRKT60Node19, O=IBM, C=US
Serial number: 34825d997fda3
Valid from: 11/12/07 3:06 PM until: 11/7/27 3:06 PM
Certificate fingerprints:
MD5: 66:61:CE:7C:C7:44:8B:A7:23:FF:1B:68:E4:AC:24:55
SHA1: 25:E0:6B:D9:60:BB:67:5B:C6:67:BD:02:2C:54:E3:DA:24:E5:31:A3
*******************************************
您可以使用 WebSphere® Application Server 证书管理工具来创建新的个人证书,然后将 rsa-key.p12 中的 RSA 个人证书以及 rsa-trust.p12 中的公用密钥替换为这个新创建的个人证书。如果在联合到管理代理程序或作业管理器之前替换了 RSA 个人证书,那么将自动进行证书交换。如果在联合之后更改证书,那么需要确保已使用新证书的签署者更新了管理代理程序或作业管理器上的 rsa-trust.p12,才能建立信任。