配置服务器或单元级别的集合证书

证书集合库包含等待验证的不可信的中间证书文件。可以在服务器级别上配置证书集合库。

关于此任务

验证可能包含:检查数字签名的 SOAP 消息中的有效签名以查看证书是否在证书撤销列表 (CRL) 上,检查证书是否未到期,以及检查证书是否由可信的签署者发出。

在以下步骤中,使用第一步配置服务器级别的证书集合库,使用第二步配置单元级别的证书集合库:

过程

  1. 访问服务器级别的缺省绑定。
    1. 单击服务器 > 服务器类型 > WebSphere 应用程序服务器 > server_name
    2. 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时
      混合版本环境 混合版本环境: 在具有使用 WebSphere® Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定mixv
  2. 单击安全性 > Web Service 以访问单元级别的缺省绑定。
  3. 在“其他属性”下,单击证书集合库
  4. 单击新建创建证书集合库配置,单击删除删除现有配置,或者单击现有证书集合库配置的名称以编辑其设置。 如果您正在创建新配置,那么在“证书库名称”字段中输入名称。例如,您可能命名证书库 sig_certstore

    证书集合库的名称对于应用程序服务器的级别必须唯一。例如,如果您创建服务器级别的证书集合库,那么存储名称对于服务器级别必须唯一。 其他配置使用“证书库名称”字段中指定的名称来引用预定义的证书集合库。WebSphere Application Server 根据近似性搜索证书集合库。

    例如,如果应用程序绑定引用名为 cert1 的证书集合库,那么应用程序服务器在搜索服务器级别前先在应用程序级别上搜索 cert1,然后搜索单元级别。

  5. 在“证书库提供程序”字段中指定证书库提供程序。 WebSphere Application Server 支持 IBMCertPath 证书库提供商。要使用另一个证书库提供程序,必须在 [z/OS][AIX Solaris HP-UX Linux Windows]install_dir/properties[IBM i]profile_root/properties/java.security 文件的提供程序列表中定义提供程序实现。但是,请确保提供程序支持与 WebSphere Application Server 相同的证书路径算法需求。
  6. 单击确定保存以保存配置。
  7. 单击证书库配置的名称。 指定证书库提供程序之后,您必须指定证书撤销列表的位置或者 X.509 证书的位置。但是,您可以为证书库配置指定证书撤销列表和 X.509 证书。
  8. 在“其他属性”下,单击证书撤销列表 对于生成器绑定,证书撤销列表 (CRL) 在包含在生成的安全性令牌中时使用。例如,安全性令牌可能合并在具有 CRL 的 PKCS#7 格式中。有关证书撤销列表的更多信息,请参阅证书撤销列表
  9. 单击新建以指定证书撤销列表路径,单击删除以删除现有的列表引用,或者单击现有引用的名称以编辑路径。 您必须指定 WebSphere Application Server 可以查找无效证书列表的位置的标准路径。WebSphere Application Server 使用证书撤销列表来检查发送方证书的有效性。

    出于可移植性原因,建议您使用 WebSphere Application Server 变量来指定证书撤销列表的相对路径。当您在 WebSphere Application Server Network Deployment 环境中工作时,此建议尤为重要。

    例如,您可能使用 USER_INSTALL_ROOT 变量定义 $USER_INSTALL_ROOT/mycertstore/mycrl1 这样的路径,其中 mycertstore 表示证书库的名称,而 mycrl1 表示证书撤销列表。要获取受支持的变量的列表,单击管理控制台中的环境 > WebSphere 变量。以下列表提供使用证书撤销列表的建议:
    • 如果已将 CRL 添加到证书集合库,那么为根认证中心和每个中间证书(如果适用)添加 CRL。当 CRL 在证书集合库中时, 将对照签发者的 CRL 来检查证书链中每个证书的撤销状态。
    • 在更新了 CRL 文件的情况下,只有在重新启动 Web Service 应用程序后,新的 CRL 才生效。
    • CRL 到期前,必须将新的 CRL 装入证书集合库以替换旧的 CRL。证书集合库中到期的 CRL 将导致证书路径 (CertPath) 构建故障。
  10. 单击确定,然后单击保存保存配置。
  11. 返回“证书集合库”配置面板。
  12. 在“其他属性”下面,单击 X.509 证书 X.509 证书配置指定用于验证 X.509 格式的入局安全性令牌的证书路径的中间证书文件。
  13. 单击新建以创建 X.509 证书配置,单击删除以删除现有配置,或者单击现有 X.509 证书配置的名称以编辑其设置。 如果您正在创建新配置,那么在“证书库名称”字段中输入名称。
  14. 在“X.509 证书路径”字段中指定路径。 此条目是到 X.509 证书的位置的绝对路径。该证书集合库用于入局 X.509 格式的安全性令牌的证书路径验证。

    您可以将 USER_INSTALL_ROOT 变量用作路径名的一部分。例如,您可能输入:$USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer。 请不要将此证书路径供生产使用。您必须在将 WebSphere Application Server 环境用于生产前,从认证中心获取自己的 X.509 证书。

    在管理控制台中单击环境 > WebSphere 变量以配置 USER_INSTALL_ROOT 变量。

  15. 单击确定,然后单击保存以保存配置。
  16. 返回“证书集合库集合”面板并单击更新运行时,用缺省绑定信息更新 Web Service 安全性运行时,该绑定信息可在 ws_security.xml 文件中找到。单击更新运行时时,对其他 Web Service 进行的配置更改也将在 Web Service 安全性运行时中更新。 策略集只能与 JAX-WS 应用程序配合使用。策略集不能用于 JAX-RPC 应用程序。

结果

已为服务器级别或单元级别配置了证书集合库。


指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configcolcertstsvrcell
文件名:twbs_configcolcertstsvrcell.html