(可选)查询证书撤销列表(CRL)

如果愿意,可指示 RSE 守护程序检查一个或多个证书撤销列表(CRL)以提高验证进程的安全性。

此操作通过将 CRL 相关环境变量添加至 rsed.envvars 完成。以下样本定义在 rsed.envvars 中可用:
GSK_CRL_SECURITY_LEVEL
指定在证书验证期间,与 LDAP 服务器联系以检查 CRL 从而获取已撤销证书时 SSL 应用程序应使用的安全性级别。缺省值为中级。取消注释并更改为强制使用指定值。以下值有效:
  • 低级 - 如果不能联系 LDAP 服务器,那么证书验证不会失败。
  • 中级 - 证书验证要求 LDAP 服务器可联系,但不要求定义 CRL。这是缺省值。
  • 高级 - 证书验证要求 LDAP 服务器可联系并且要求定义 CRL。
注: 此伪指令需要 z/OS 1.9 或更高版本。
GSK_LDAP_SERVER
指定一个或多个用空格分隔的 LDAP 服务器主机名。取消注释并更改为强制使用指定的 LDAP 服务器来获取它们的 CRL。

主机名可以是 TCP/IP 地址或 URL。每个主机名可包含可选端口号,端口号与主机名之间用冒号(:)隔开。

GSK_LDAP_PORT
指定 LDAP 服务器端口。缺省值为 389。取消注释并更改为强制使用指定值。
GSK_LDAP_USER
指定连接至 LDAP 服务器时要使用的专有名称。取消注释并更改为强制使用指定值。
GSK_LDAP_PASSWORD
指定连接至 LDAP 服务器时要使用的密码。取消注释并更改为强制使用指定值。
请参阅 Cryptographic Services System Secure Sockets Layer Programming(SC24-5901)以了解有关 z/OS 系统 SSL 使用的这些及其他环境变量的更多信息。
注:rsed.envvars 中指定其他 z/OS 系统 SSL 环境变量(GSK_*)时应特别谨慎,因为它们可能会更改 RSE 守护程序处理 SSL 连接和证书认证的方式。