集合证书库是非 root 用户、认证中心(CA)和证书撤销列表(CRL)的集合。此 CA 证书和 CRL 的集合用于检查数字签署的简单对象访问协议(SOAP)消息的有效签名。请完成以下步骤以在应用程序级别上配置使用者绑定的集合证书:
- 在 WebSphere® Application Server 管理控制台中找到集合证书库配置面板。
- 单击应用程序 > 企业应用程序 > application_name。
- 在“相关项”下,单击 EJB 模块或 Web 模块 > URI_name。
- 在“其他属性”下,单击集合证书库。
- 单击新建以创建集合证书库配置,单击删除以删除现有配置,或者单击现有集合证书库配置的名称以编辑其设置。 如果您正在创建新配置,则在“证书库名称”字段中输入名称。
集合证书库的名称对于应用程序服务器的级别必须是唯一的。例如,如果您创建应用程序级别的集合证书库,则库名对应用程序级别必须是唯一的。其他配置使用“证书库名称”字段中指定的名称以引用预定义的集合证书库。
WebSphere Application Server
根据邻近性来搜索集合证书库。
例如,如果应用程序绑定引用称为 cert1 的集合证书库,则 Application Server 在搜索服务器级别前先在应用程序级别上搜索 cert1。
- 在“证书库提供者”字段中指定证书库提供者。 WebSphere Application Server 支持 IBMCertPath
证书库提供者。要使用另一个证书库提供者,您必须在 install_dir/java/jre/lib/security/java.security 文件中的提供者列表中定义提供者实现。但是,请确保提供者支持的证书路径算法需求与 WebSphere Application Server 支持的证书路径算法需求相同。
- 单击确定和保存以保存配置。
- 单击证书库配置的名称。 在指定证书库提供者后,您必须指定证书撤销列表的位置或者 X.509 证书的位置。然而,您可以为证书库配置指定证书撤销列表和 X.509 证书。
- 在“其他属性”下,单击证书撤销列表。
- 单击新建以指定证书撤销列表路径,单击删除以删除现有列表引用,或者单击现有引用的名称以编辑路径。 必须指定一个位置的标准路径,WebSphere Application Server
可以在该位置找到无效证书列表。为了提高可移植性,建议使用 WebSphere Application Server
变量来指定证书撤销列表(CRL)的相对路径。当在 WebSphere Application Server Network Deployment
环境中工作时,此建议尤其重要。
例如,您可以使用 USER_INSTALL_ROOT 变量来定义路径,如 USER_INSTALL_ROOT/mycertstore/mycrl1。要获取受支持变量的列表,请在 WebSphere Application Server 管理控制台中单击环境 > WebSphere 变量。以下列表提供有关使用证书撤销列表的建议:
- 如果已将 CRL 添加到集合证书库,则为根认证中心和每个中间证书(如果适用)添加 CRL。当 CRL 在集合证书库中时, 将对照证书发布者的 CRL 来检查证书链中每个证书的撤销状态。
- 在更新了 CRL 文件的情况下,只有在重新启动 Web Service 应用程序之后,新的 CRL 才生效。
- CRL 到期前,必须将新的 CRL 装入集合证书库以替换旧的 CRL。集合证书库中到期的
CRL 将导致证书路径(CertPath)构建故障。
- 单击确定和保存以保存配置。
- 返回到“集合证书库”配置面板。 请参阅本文的最先几个步骤以找到“集合证书库”面板。
- 在“其他属性”下,单击 X.509 证书。
- 单击新建以创建 X.509 证书的新配置、单击删除以删除现有配置,或单击现有 X.509 证书配置的名称以编辑其设置。 如果您正在创建新配置,则在“证书库名称”字段中输入名称。
- 在“X.509 证书路径”字段中指定路径。 此条目是到 X.509 证书位置的绝对路径。此集合证书库用于验证入局 X.509 格式的安全性令牌的证书路径。
您可以使用 USER_INSTALL_ROOT 变量作为路径名的一部分。例如,您可以输入:USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer。不要将此证书路径供生产使用。在将 WebSphere Application Server 环境应用于生产之前,必须从认证中心那里获取自己的 X.509 证书。
在 WebSphere Application Server 管理控制台中单击环境 > WebSphere 变量以配置 USER_INSTALL_ROOT 变量。
- 单击确定,然后单击保存以保存配置。
您已配置了使用者绑定的集合证书库。
您必须配置引用此证书库配置的令牌使用者配置。