WebSphere Application Server V7 高级安全性加强，第 1 部分：安全性加强概述和方法（下）

核心提示： 为 Web 容器创建一个密钥存储库和信任存储库，为 Web 服务器插件创建一个密钥存储库，WebSphere Application Server V7 高级安全性加强，第 1 部分：安全性加强概述和方法（下）(2)， 从所有密钥存储库（包括信任存储库）删除所有现有的签名证书，此时，就很容易解决

为 Web 容器创建一个密钥存储库和信任存储库，为 Web 服务器插件创建一个密钥存储库。

从所有密钥存储库（包括信任存储库）删除所有现有的签名证书。此时，不能使用任何密钥存储库来检验证书。这样做是有意的。

在这两个密钥存储库中创建自签名证书，并只导出该证书（而不是私钥）。一定要记录这些证书的到期时间。当插件证书到期之后，它就不能联系 Web 容器了！将从 Web 容器密钥存储库中导出的证书导入到插件密钥存储库中。将插件证书导入到 Web 容器信任存储库中。现在，每一端都只包含一个签名证书。这意味着只能使用它们检验一个证书 —— 为对方创建的自签名证书。

将新创建的密钥存储库安装到 Web 容器和 Web 服务器插件中。

15. 不要在生产环境中运行示例

WebSphere Application Server 附带了几个非常好的示例，它们演示 WebSphere Application Server 的各个部分。这些示例不是为在生产环境中使用准备的。不要在生产环境中运行它们，因为它们会带来严重的安全风险。特别是 showCfg 和 snoop Servlet 会向外部人员提供大量关于您的系统的信息。这正是您不希望潜在的入侵者获得的信息。只要不在生产环境中运行 server1（它包含这些示例），就很容易解决这个问题。如果使用的是 WebSphere Application Server Base，实际上应该从 server1 中删除这些示例。

16. 选择合适的进程身份