在应用程序级别上配置使用者绑定的证书集合库
证书集合库是非 root 用户、认证中心 (CA) 证书和证书撤销列表 (CRL) 的集合。CA 证书和 CRL 的此集合用于检查以数字方式签署的 SOAP 消息的签名是否有效。
关于此任务
过程
- 在管理控制台中找到“证书集合库配置”面板。
- 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name。
- 在“模块”下面,单击管理模块 > URI_name。
- 在 Web Service 安全性属性下,可以访问响应使用者和请求使用者绑定的证书集合库信息。
- 对于“响应使用者(接收方)绑定”,单击 Web Service:客户机安全性绑定。在“响应使用者(接收方)绑定”下,单击编辑定制。
- 对于“请求使用者(接收方)绑定”,单击 Web Service:服务器安全性绑定。在“响应使用者(接收方)绑定”下,单击编辑定制。
- 在“其他属性”下,单击证书集合库。
- 单击新建创建证书集合库配置,单击删除删除现有配置,或者单击现有证书集合库配置的名称以编辑其设置。 如果您正在创建新配置,那么在“证书库名称”字段中输入名称。
证书集合库的名称对于应用程序服务器的级别必须唯一。例如,如果您创建应用程序级别的证书集合库,那么库名在应用程序级别必须唯一。其他配置使用“证书库名称”字段中指定的名称来引用预定义的证书集合库。WebSphere® Application Server 根据近似性搜索证书集合库。
例如,如果应用程序绑定引用名为 cert1 的证书集合库,那么应用程序服务器在搜索服务器级别前先在应用程序级别上搜索 cert1,然后搜索单元级别。
- 在“证书库提供程序”字段中指定证书库提供程序。 WebSphere Application Server 支持 IBMCertPath 证书库提供商。要使用另一个证书库提供程序,必须在
install_dir/java/jre/lib/security/java.security
install_dir/properties/java.security
profile_root/properties/java.security 文件的提供程序列表中定义提供程序实现。但是,请确保提供程序支持与 WebSphere Application Server 相同的证书路径算法需求。
- 单击确定和保存以保存配置。
- 单击证书库配置的名称。 指定证书库提供程序之后,您必须指定证书撤销列表的位置或者 X.509 证书的位置。但是,您可以为证书库配置指定证书撤销列表和 X.509 证书。
- 在“其他属性”下,单击证书撤销列表。
- 单击新建以指定证书撤销列表路径,单击删除以删除现有的列表引用,或者单击现有引用的名称以编辑路径。 您必须指定 WebSphere Application Server 可以查找无效证书列表的位置的标准路径。出于可移植性原因,建议您使用 WebSphere Application Server 变量来指定证书撤销列表 (CRL) 的相对路径。当您在 WebSphere Application Server Network Deployment 环境中工作时,此建议尤为重要。例如,您可以使用 USER_INSTALL_ROOT 变量来定义路径,如 $USER_INSTALL_ROOT/mycertstore/mycrl1。
要获取受支持的变量的列表,单击管理控制台中的环境 > WebSphere 变量。以下列表提供有关使用证书撤销列表的建议:
- 如果已将 CRL 添加到证书集合库,那么为根认证中心和每个中间证书(如果适用)添加 CRL。当 CRL 在证书集合库中时, 将对照签发者的 CRL 来检查证书链中每个证书的撤销状态。
- 在更新了 CRL 文件的情况下,只有在重新启动 Web Service 应用程序后,新的 CRL 才生效。
- CRL 到期前,必须将新的 CRL 装入证书集合库以替换旧的 CRL。证书集合库中到期的 CRL 将导致证书路径 (CertPath) 构建故障。
- 单击确定和保存以保存配置。
- 返回“证书集合库”配置面板。 请参阅最先几个步骤以找到“证书集合库”面板。
- 在“其他属性”下面,单击 X.509 证书。
- 单击新建以创建 X.509 证书的新配置、单击删除以删除现有配置,或单击现有 X.509 证书配置的名称以编辑其设置。 如果您正在创建新配置,那么在“证书库名称”字段中输入名称。
- 在“X.509 证书路径”字段中指定路径。 此条目是到 X.509 证书位置的绝对路径。此证书集合库用于验证入局 X.509 格式的安全性令牌的证书路径。
您可以使用 USER_INSTALL_ROOT 变量作为路径名的一部分。例如,可输入 USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer。请不要将此证书路径供生产使用。您必须在将 WebSphere Application Server 环境用于生产前,从认证中心获取自己的 X.509 证书。
在管理控制台中单击环境 > WebSphere 变量以配置 USER_INSTALL_ROOT 变量。
- 单击确定,然后单击保存以保存配置。
结果
下一步做什么


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_colcertstconsapp
文件名:twbs_colcertstconsapp.html