配置服务器或单元级别的集合证书
证书集合库包含等待验证的不可信的中间证书文件。可以在服务器级别上配置证书集合库。
关于此任务
在以下步骤中,使用第一步配置服务器级别的证书集合库,使用第二步配置单元级别的证书集合库:
过程
- 访问服务器级别的缺省绑定。
- 单击服务器 > 服务器类型 > WebSphere 应用程序服务器 > server_name。
- 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时。
混合版本环境: 在具有使用 WebSphere® Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定。mixv
- 单击安全性 > Web Service 以访问单元级别的缺省绑定。
- 在“其他属性”下,单击证书集合库。
- 单击新建创建证书集合库配置,单击删除删除现有配置,或者单击现有证书集合库配置的名称以编辑其设置。 如果您正在创建新配置,那么在“证书库名称”字段中输入名称。例如,您可能命名证书库 sig_certstore。
证书集合库的名称对于应用程序服务器的级别必须唯一。例如,如果您创建服务器级别的证书集合库,那么存储名称对于服务器级别必须唯一。 其他配置使用“证书库名称”字段中指定的名称来引用预定义的证书集合库。WebSphere Application Server 根据近似性搜索证书集合库。
例如,如果应用程序绑定引用名为 cert1 的证书集合库,那么应用程序服务器在搜索服务器级别前先在应用程序级别上搜索 cert1,然后搜索单元级别。
- 在“证书库提供程序”字段中指定证书库提供程序。 WebSphere Application Server 支持 IBMCertPath 证书库提供商。要使用另一个证书库提供程序,必须在
install_dir/properties
profile_root/properties/java.security 文件的提供程序列表中定义提供程序实现。但是,请确保提供程序支持与 WebSphere Application Server 相同的证书路径算法需求。
- 单击确定和保存以保存配置。
- 单击证书库配置的名称。 指定证书库提供程序之后,您必须指定证书撤销列表的位置或者 X.509 证书的位置。但是,您可以为证书库配置指定证书撤销列表和 X.509 证书。
- 在“其他属性”下,单击证书撤销列表。 对于生成器绑定,证书撤销列表 (CRL) 在包含在生成的安全性令牌中时使用。例如,安全性令牌可能合并在具有 CRL 的 PKCS#7 格式中。有关证书撤销列表的更多信息,请参阅证书撤销列表。
- 单击新建以指定证书撤销列表路径,单击删除以删除现有的列表引用,或者单击现有引用的名称以编辑路径。 您必须指定 WebSphere Application Server 可以查找无效证书列表的位置的标准路径。WebSphere Application Server 使用证书撤销列表来检查发送方证书的有效性。
出于可移植性原因,建议您使用 WebSphere Application Server 变量来指定证书撤销列表的相对路径。当您在 WebSphere Application Server Network Deployment 环境中工作时,此建议尤为重要。
例如,您可能使用 USER_INSTALL_ROOT 变量定义 $USER_INSTALL_ROOT/mycertstore/mycrl1 这样的路径,其中 mycertstore 表示证书库的名称,而 mycrl1 表示证书撤销列表。要获取受支持的变量的列表,单击管理控制台中的环境 > WebSphere 变量。以下列表提供使用证书撤销列表的建议:- 如果已将 CRL 添加到证书集合库,那么为根认证中心和每个中间证书(如果适用)添加 CRL。当 CRL 在证书集合库中时, 将对照签发者的 CRL 来检查证书链中每个证书的撤销状态。
- 在更新了 CRL 文件的情况下,只有在重新启动 Web Service 应用程序后,新的 CRL 才生效。
- CRL 到期前,必须将新的 CRL 装入证书集合库以替换旧的 CRL。证书集合库中到期的 CRL 将导致证书路径 (CertPath) 构建故障。
- 单击确定,然后单击保存保存配置。
- 返回“证书集合库”配置面板。
- 在“其他属性”下面,单击 X.509 证书。 X.509 证书配置指定用于验证 X.509 格式的入局安全性令牌的证书路径的中间证书文件。
- 单击新建以创建 X.509 证书配置,单击删除以删除现有配置,或者单击现有 X.509 证书配置的名称以编辑其设置。 如果您正在创建新配置,那么在“证书库名称”字段中输入名称。
- 在“X.509 证书路径”字段中指定路径。 此条目是到 X.509 证书的位置的绝对路径。该证书集合库用于入局 X.509 格式的安全性令牌的证书路径验证。
您可以将 USER_INSTALL_ROOT 变量用作路径名的一部分。例如,您可能输入:$USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer。 请不要将此证书路径供生产使用。您必须在将 WebSphere Application Server 环境用于生产前,从认证中心获取自己的 X.509 证书。
在管理控制台中单击环境 > WebSphere 变量以配置 USER_INSTALL_ROOT 变量。
- 单击确定,然后单击保存以保存配置。
- 返回“证书集合库集合”面板并单击更新运行时,用缺省绑定信息更新 Web Service 安全性运行时,该绑定信息可在 ws_security.xml 文件中找到。单击更新运行时时,对其他 Web Service 进行的配置更改也将在 Web Service 安全性运行时中更新。 策略集只能与 JAX-WS 应用程序配合使用。策略集不能用于 JAX-RPC 应用程序。
结果
已为服务器级别或单元级别配置了证书集合库。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configcolcertstsvrcell
文件名:twbs_configcolcertstsvrcell.html