Paramètres de configuration de la liste de retrait de certificat
Utilisez cette page pour indiquer une liste des retraits de certificats permettant de vérifier la validité d'un certificat. Le serveur d'applications consulte la liste de retrait de certificat (CRL) pour déterminer la validité du certificat client. Un certificat qui se trouve dans la liste de retrait de certificat n'a pas forcément expiré mais n'est plus jugé digne de confiance par l'autorité de certification (CA) qui l'a émis. Cette dernière peut ajouter le certificat à la liste CRL si elle estime que l'autorité du client est compromise.
- Cliquez sur .
- Dans la section Propriétés supplémentaires, cliquez sur Magasin de certificats de collection.
- Cliquez sur le nom d'un magasin de certificats de collection déjà configuré ou créez-en un.
- Dans la section Propriétés supplémentaires, cliquez sur pour indiquer le chemin d'accès à une nouvelle liste ou cliquez sur le nom d'une liste de retrait de certificat pour modifier son chemin.
- Cliquez sur .
- Sous Sécurité, cliquez sur Module d'exécution de sécurité JAX-WS et JAX-RPC.
Environnement de version mixte: Dans une cellule de noeud mixte avec un serveur utilisant WebSphere Application Server version 6.1 ou une version précédente, cliquez sur Liaisons par défaut pour la sécurité des services Web.mixv
- Dans la section Propriétés supplémentaires, cliquez sur Magasin de certificats de collection.
- Cliquez sur le nom d'un magasin de certificats de collection déjà configuré ou créez-en un.
- Dans la section Propriétés supplémentaires, cliquez sur pour indiquer le chemin d'accès à une nouvelle liste ou cliquez sur le nom d'une liste de retrait de certificat pour modifier son chemin.
- Cliquez sur .
- Sous Modules, cliquez sur .
- Sous Propriétés de la sécurité des services Web, vous pouvez accéder aux magasins de certificats de collection
pour les liaisons suivantes :
- Pour le générateur de demande, cliquez sur Services Web : Liaisons de sécurité du client. Sous Liaison du générateur de demande (émetteur), cliquez sur .
- Pour le consommateur de demande, cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du destinataire de la demande (récepteur), cliquez sur .
- Pour le générateur de réponse, cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du générateur de réponse (émetteur), cliquez sur .
- Pour le consommateur de réponse, cliquez sur Services Web : Liaisons de sécurité du client. Sous Liaison du destinataire de la réponse (récepteur), cliquez sur .
- Cliquez sur le nom d'un magasin de certificats de collection déjà configuré ou créez-en un.
- Dans la section Propriétés supplémentaires, cliquez sur pour indiquer le chemin d'accès à une nouvelle liste ou cliquez sur le nom d'une liste de retrait de certificat pour modifier son chemin.
Chemin d'accès à la liste de retrait de certificats
Indique le chemin d'accès complet à la liste des certificats non valides.
Pour des raisons de portabilité, il est recommandé d'utiliser les variables du serveur d'applications pour spécifier un chemin d'accès relatif à la liste de retrait de certificats. Cette recommandation est particulièrement importante lorsque vous travaillez dans un environnement WebSphere Application Server, Network Deployment. Par exemple, vous pouvez utiliser la variable USER_INSTALL_ROOT pour définir un chemin, tel que $USER_INSTALL_ROOT/magasincert/crl où magasincert correspond au nom du magasin de certificats et crl correspond à la liste de retrait de certificat. Pour obtenir une liste des variables prises en charge, cliquez sur dans la console d'administration.
- Si des CRL sont ajoutées pour la collection de magasins de certificats de collection, ajoutez-les pour l'autorité de certification racine et, le cas échéant, pour chaque certificat intermédiaire. Lorsque la CRL est dans le magasin de collections de certificats, l'état de révocation (ou retrait) de chaque certificat de la chaîne est vérifié par rapport à la CRL de l'émetteur.
- Lorsque le fichier de la CRL est mis à jour, la nouvelle CRL ne prend effet qu'au redémarrage suivant de l'application de service Web.
- Avant l'expiration d'une CRL, vous devez en charger une nouvelle dans le magasin de collections de certificats afin de remplacer l'ancienne CRL. La présence, dans le magasin de collections de certificats, d'une CRL ayant expiré se traduit par un échec de génération du chemin de certificat (CertPath).