为生成者绑定配置集合证书库

此任务描述使用组装工具在应用程序级别为生成者绑定指定集合证书库的步骤。集合证书库是用于验证嵌入在接收的 SOAP 消息内的 X.509 证书的非 root 认证中心(CA)证书和证书撤销列表(CRL)。请求生成者是为客户机配置的,而响应生成者是为服务器配置的。在生成者端,仅当您配置嵌入 PKCS#7 格式中的 CRL 时才需要配置集合证书库。请完成以下步骤来为生成者配置集合证书库。在步骤 2 中指定客户端绑定或在步骤 3 中指定服务器端绑定。
  1. 单击窗口 > 打开透视图 > J2EE
  2. 可选: 使用“项目资源管理器”窗口找到客户端绑定。 显示“客户机部署描述符”窗口。此 Web Service 包含需要配置的绑定。
    1. 展开“Web Service > 客户机”部分,并双击 Web Service 的名称。
    2. 单击 WS 绑定选项卡并展开“安全请求生成者绑定配置”部分。
  3. 可选: 使用“项目资源管理器”窗口找到服务器端绑定。 显示“Web Service 编辑器”窗口。此 Web Service 包含需要配置的绑定。
    1. 展开“Web Service > 服务”部分,并双击 Web Service 的名称。
    2. 单击绑定配置选项卡,并展开“响应生成者绑定配置详细信息”部分。
  4. 展开“证书库列表 > 集合证书库”部分,然后单击添加
  5. 在“名称”字段中指定唯一的证书库名称。 例如,指定 cert1。在定义它的级别集合证书库的名称必须是唯一的。例如,在应用程序级别名称必须是唯一的。证书库名称字段中指定的名称由其他配置使用 来引用预定义的集合证书库。WebSphere® Application Server 根据邻近度来查找集合证书库。例如,如果应用程序绑定引用证书库 cert1,则 WebSphere Application Server 将首先在应用程序级别查找 cert1。 如果未找到它,则在服务器级别查找,并最终在单元级别查找。
  6. 在“提供者”字段中指定证书库提供者。 支持 IBMCertPath 证书路径提供程序。要使用其他证书路径提供程序,必须在软件开发包(SDK)中的 java.security 文件内的提供程序列表中定义提供程序实现。
  7. 在 X509 证书下单击添加以指定到 X.509 证书的标准路径,单击现有证书路径条目的名称来编辑它,或单击除去以将它删除。 此集合证书库用来验证进入 X.509 格式的安全性令牌的证书路径。

    您可以使用 USER_INSTALL_ROOT 变量作为路径名的一部分。例如,您可以指定 ${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer。然而,不要将此 X.509 证书路径用于生产用途。在将 WebSphere Application Server 环境应用于生产之前,请从认证中心那里获取您自己的 X.509 证书。

    在 WebSphere Application Server 管理控制台中,可以单击环境 > WebSphere 变量以配置 USER_INSTALL_ROOT 变量。

  8. 在 CRL 下单击添加以指定到证书撤销列表(CRL)的标准路径,单击现有 CRL 条目以编辑它,或单击除去以将它删除。

    为了提高可移植性,建议使用 WebSphere Application Server 变量来指定证书撤销列表的相对路径。例如,您可以使用 USER_INSTALL_ROOT 变量定义路径,例如 ${USER_INSTALL_ROOT}/mycertstore/mycrl。要获取受支持变量的列表,请在 WebSphere Application Server 管理控制台中单击环境 > WebSphere 变量

    以下列表提供了有关使用 CRL 的建议:
    • 如果已将 CRL 添加到集合证书库,则为根认证中心和每个中间证书(如果适用)添加 CRL。当 CRL 在集合证书库中时, 将对照证书发布者的 CRL 来检查证书链中每个证书的撤销状态。
    • 在更新了 CRL 文件的情况下,只有在重新启动 Web Service 应用程序之后,新的 CRL 才生效。
    • CRL 到期前,必须将新的 CRL 装入集合证书库以替换旧的 CRL。集合证书库中到期的 CRL 将导致证书路径(CertPath)构建故障。
  9. 单击确定以保存配置。
相关概念
集合证书库
相关任务
使用组装工具配置令牌生成者

反馈