此文档描述如何为应用程序级别的使用者绑定配置信任锚。它不描述如何在服务器或单元级别上配置信任锚。在应用程序级别上定义的信任锚比服务器或单元级别上定义的信任锚具有更高的优先级。有关在服务器或单元级别上创建和配置信任锚的更多信息,请参阅配置服务器或单元级别的信任锚。
可以使用组装工具或 WebSphere® Application Server 管理控制台来为使用者绑定配置信任锚。本文档描述了如何使用 WebSphere Application Server 管理控制台来配置应用程序级别信任锚。
信任锚指定包含可信根认证中心(CA)证书的密钥库,其验证签署者证书。这些密钥库由请求使用者(如 ibm-webservices-bnd.xmi 文件中所定义)和响应使用者(如 Web Service 担当客户机时 ibm-webservicesclient-bnd.xmi 中所定义)用于验证简单对象访问协议(SOAP)消息中的 X.509 证书。密钥库对于数字签名验证的完整性很关键。如果密钥库被篡改,则数字签名验证结果将不可信。因此,建议您保护这些密钥库。ibm-webservices-bnd.xmi 文件中为请求使用者指定的绑定配置必须与 ibm-webservicesclient-bnd.xmi 文件中为响应使用者指定的绑定配置匹配。 服务器端上请求使用者的信任锚配置必须匹配客户端上的请求生成者配置。同样,客户端上响应使用者的信任锚配置必须匹配服务器端上的响应生成者配置。
完成以下步骤在应用程序级别上配置使用者绑定的信任锚: