对服务器级别绑定或单元级别绑定配置集合证书库

集合证书库包含等待验证的不可信的中间证书文件。验证可能包含:检查数字签名的简单对象访问协议(SOAP)消息中的有效签名以查看证书是否在证书撤销列表(CRL)上,验证证书未到期,以及检查证书是否由可信的签署者发出。

完成下列步骤以在服务器级别上配置集合证书:

  1. 访问服务器级别的缺省绑定。
    1. 单击服务器 > 应用程序服务器 > server_name
    2. 在“安全性”下,单击 Web Service:Web Service 安全性的缺省绑定
  2. 在“其他属性”下,单击集合证书库
  3. 单击新建以创建集合证书库配置,单击删除以删除现有配置,或者单击现有集合证书库配置的名称以编辑其设置。 如果您正在创建新配置,则在“证书库名称”字段中输入名称。例如,您可能命名证书库 sig_certstore

    集合证书库的名称对于应用程序服务器的级别必须是唯一的。例如,如果您创建服务器级别的集合证书库,则存储名称对于服务器级别必须是唯一的。 其他配置使用“证书库名称”字段中指定的名称以引用预定义的集合证书库。 WebSphere® Application Server 根据邻近性来搜索集合证书库。

    例如,如果应用程序绑定引用称为 cert1 的集合证书库,则 Application Server 在搜索服务器级别前先在应用程序级别上搜索 cert1

  4. 在“证书库提供者”字段中指定证书库提供者。 WebSphere Application Server 支持 IBMCertPath 证书库提供者。要使用另一个证书库提供者,您必须在 install_dir/java/jre/lib/security/java.security 文件中的提供者列表中定义提供者实现。但是,请确保提供者支持的证书路径算法需求与 WebSphere Application Server 支持的证书路径算法需求相同。
  5. 单击确定保存以保存配置。
  6. 单击证书库配置的名称。 在指定证书库提供者后,您必须指定证书撤销列表的位置或者 X.509 证书的位置。然而,您可以为证书库配置指定证书撤销列表和 X.509 证书。
  7. 在“其他属性”下,单击证书撤销列表 对于生成者绑定,证书撤销列表(CRL)在当其包含在生成的安全性令牌中时会使用到。例如,安全性令牌可以采用 PKCS#7 格式与 CRL 合并在一起。有关证书撤销列表的更多信息,请参阅证书撤销列表
  8. 单击新建以指定证书撤销列表路径,单击删除以删除现有列表引用,或者单击现有引用的名称以编辑路径。 必须指定一个位置的标准路径,WebSphere Application Server 可以在该位置找到无效证书列表。WebSphere Application Server 使用证书撤销列表来检查发送方证书的有效性。

    为了提高可移植性,建议使用 WebSphere Application Server 变量来指定证书撤销列表的相对路径。当在 WebSphere Application Server Network Deployment 环境中工作时,此建议尤其重要。

    例如,您可能使用 USER_INSTALL_ROOT 变量定义 USER_INSTALL_ROOT/mycertstore/mycrl1 这样的路径,其中 mycertstore表示证书库的名称,而 mycrl1 表示证书撤销列表。要获取受支持变量的列表,请在 WebSphere Application Server 管理控制台中单击环境 > WebSphere 变量。以下列表提供使用证书撤销列表的建议:
    • 如果已将 CRL 添加到集合证书库,则为根认证中心和每个中间证书(如果适用)添加 CRL。当 CRL 在集合证书库中时, 将对照证书发布者的 CRL 来检查证书链中每个证书的撤销状态。
    • 在更新了 CRL 文件的情况下,只有在重新启动 Web Service 应用程序之后,新的 CRL 才生效。
    • CRL 到期前,必须将新的 CRL 装入集合证书库以替换旧的 CRL。集合证书库中到期的 CRL 将导致证书路径(CertPath)构建故障。
  9. 单击确定,然后单击保存保存配置。
  10. 返回到“集合证书库”配置面板。 要访问此面板,请完成下列步骤:
    1. 单击服务器 > 应用程序服务器 > server_name
    2. 在“安全性”下,单击 Web Service:Web Service 安全性的缺省绑定
    3. 在“其他属性”下面,单击集合证书库 > certificate_store_name
  11. 在“其他属性”下,单击 X.509 证书 X.509 证书配置指定用于验证入局 X.509 格式的安全性令牌的证书路径的中间证书文件。
  12. 单击新建以创建 X.509 证书配置,单击删除以删除现有配置,或者单击现有 X.509 证书配置的名称以编辑其设置。 如果您正在创建新配置,则在“证书库名称”字段中输入名称。
  13. 在“X.509 证书路径”字段中指定路径。 此条目是到 X.509 证书的位置的绝对路径。该集合证书库用于入局 X.509 格式的安全性令牌的证书路径验证。

    您可以将 USER_INSTALL_ROOT 变量用作路径名的一部分。例如,您可能输入:$USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer。 不要将此证书路径供生产使用。在将 WebSphere Application Server 环境应用于生产之前,必须从认证中心那里获取自己的 X.509 证书。

    在 WebSphere Application Server 管理控制台中单击环境 > WebSphere 变量以配置 USER_INSTALL_ROOT 变量。

  14. 单击确定,然后单击保存以保存配置。
  15. 返回“集合证书库集合”面板并单击更新运行时,用缺省绑定信息更新 Web Service 安全性运行时,该绑定信息可在 ws_security.xml 文件中找到。单击更新运行时时,对其他 Web Service 进行的配置更改也将在 Web Service 安全性运行时中更新。
您已为服务器级别或单元级别配置集合证书库。
相关概念
证书撤销列表

反馈