在应用程序级别配置生成者绑定的集合证书库

集合证书库是非 root 用户、认证中心(CA)和证书撤销列表(CRL)的集合。此 CA 证书和 CRL 的集合用于检查数字签署的简单对象访问协议(SOAP)消息的有效签名。请完成以下步骤以在应用程序级别上配置生成者绑定的集合证书:
  1. 在 WebSphere® Application Server 管理控制台中找到集合证书库配置面板。
    1. 单击应用程序 > 企业应用程序 > application_name
    2. 在“相关项”下,单击 EJB 模块Web 模块 > URI_name
    3. 在“其他属性”下,您可以访问请求生成者绑定和响应生成者绑定的密钥信息。
      • 要获取请求生成者(发送方)绑定,单击 Web Service:客户机安全绑定。在“请求生成者(发送方)绑定”下,单击编辑定制
      • 要获取响应生成者(发送方)绑定,单击 Web Service:服务器安全绑定。在“响应生成者(发送方)绑定”下,单击编辑定制
    4. 在“其他属性”下,单击集合证书库
  2. 指定证书库名称。 单击新建以创建集合证书库配置,选择配置旁边的框并单击删除以删除现有配置,或者单击现有集合证书库配置的名称以对它的设置进行编辑。如果您正在创建新配置,则在“证书库名称”字段中输入名称。

    集合证书库的名称对于应用程序服务器的级别必须是唯一的。例如,如果您创建应用程序级别的集合证书库,则库名对应用程序级别必须是唯一的。其他配置使用“证书库名称”字段中指定的名称以引用预定义的集合证书库。 WebSphere Application Server 根据邻近性来搜索集合证书库。

    例如,如果应用程序绑定引用称为 cert1 的集合证书库,则 Application Server 在搜索服务器级别前先在应用程序级别上搜索 cert1

  3. 在“证书库提供者”字段中指定证书库提供者。 WebSphere Application Server 支持 IBMCertPath 证书库提供者。要使用另一个证书库提供者,您必须在 install_dir/java/jre/lib/security/java.security 文件中的提供者列表中定义提供者实现。但是,请确保提供者支持的证书路径算法需求与 WebSphere Application Server 支持的证书路径算法需求相同。
  4. 单击确定保存以保存配置。
  5. 单击证书库配置的名称。 在指定证书库提供者后,您必须指定证书撤销列表的位置或者 X.509 证书的位置。然而,您可以为证书库配置指定证书撤销列表和 X.509 证书。
  6. 在“其他属性”下,单击证书撤销列表
  7. 单击新建以指定证书撤销列表路径,单击删除以删除现有列表引用,或者单击现有引用的名称以编辑路径。 必须指定一个位置的标准路径,WebSphere Application Server 可以在该位置找到无效证书列表。为了提高可移植性,建议使用 WebSphere Application Server 变量来指定证书撤销列表(CRL)的相对路径。当在 WebSphere Application Server Network Deployment 环境中工作时,此建议尤其重要。 例如,您可以使用 USER_INSTALL_ROOT 变量来定义路径,如 USER_INSTALL_ROOT/mycertstore/mycrl1。要获取受支持变量的列表,请在 WebSphere Application Server 管理控制台中单击环境 > WebSphere 变量。以下列表提供有关使用证书撤销列表的建议:
    • 如果已将 CRL 添加到集合证书库,则为根认证中心和每个中间证书(如果适用)添加 CRL。当 CRL 在集合证书库中时, 将对照证书发布者的 CRL 来检查证书链中每个证书的撤销状态。
    • 在更新了 CRL 文件的情况下,只有在重新启动 Web Service 应用程序之后,新的 CRL 才生效。
    • CRL 到期前,必须将新的 CRL 装入集合证书库以替换旧的 CRL。集合证书库中到期的 CRL 将导致证书路径(CertPath)构建故障。
  8. 单击确定保存以保存配置。
  9. 返回到“集合证书库”配置面板。 要访问此面板,请完成下列步骤:
    1. 单击应用程序 > 企业应用程序 > application_name
    2. 在“相关项”下,单击 EJB 模块Web 模块 > URI_name
    3. 在“其他属性”下,您可以访问请求生成者绑定和响应生成者绑定的密钥信息。
      • 要获取请求生成者(发送方)绑定,单击 Web Service:客户机安全绑定。在“请求生成者(发送方)绑定”下,单击编辑定制
      • 要获取响应生成者(发送方)绑定,单击 Web Service:服务器安全绑定。在“响应生成者(发送方)绑定”下,单击编辑定制
    4. 在“其他属性”下,单击集合证书库 > certificate_store_name
  10. 在“其他属性”下,单击 X.509 证书
  11. 单击新建以创建 X.509 证书配置、单击删除以删除现有配置,或单击现有 X.509 证书配置的名称以编辑其设置。 如果您正在创建新配置,则在“证书库名称”字段中输入名称。
  12. 在“X.509 证书路径”字段中指定路径。 此条目是到 X.509 证书的位置的绝对路径。此集合证书库用于验证入局 X.509 格式的安全性令牌的证书路径。

    您可以将 USER_INSTALL_ROOT 变量用作路径名的一部分。例如,您可以输入:USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer。不要将此证书路径供生产使用。在将 WebSphere Application Server 环境应用于生产之前,必须从认证中心那里获取自己的 X.509 证书。

    在 WebSphere Application Server 管理控制台中单击环境 > WebSphere 变量以配置 USER_INSTALL_ROOT 变量。

  13. 单击确定,然后单击保存以保存配置。
您已配置了生成者绑定的集合证书库。
您必须为使用者指定类似的集合证书库配置。
相关任务
在应用程序级别上配置使用者绑定的集合证书库

反馈