WebSphere Partner Gateway - Express enthält eine CRL-Funktion (CRL=Certificate Revocation List, Zertifikatswiderrufsliste). Die CRL, die von einer Zertifizierungsstelle (Certificate Authority, CA) herausgegeben wird, gibt die Teilnehmer der Community an, die Zertifikate vor ihrem terminierten Ablaufdatum widerrufen haben. Teilnehmern mit widerrufenen Zertifikaten wird der Zugriff auf WebSphere Partner Gateway - Express verweigert.
Jedes widerrufene Zertifikat wird in einer CRL durch seine fortlaufende Zertifikatsnummer angegeben. Die Komponente Document Manager in WebSphere Partner Gateway - Express durchsucht die CRL in Abständen von 60 Sekunden und verweigert Verbindungen zu Teilnehmern, wenn mindestens eines ihrer Zertifikate in der Liste enthalten ist.
CRLs werden an der folgenden Position gespeichert: /<gemeinsames_datenverzeichnis>/security/crl. WebSphere Partner Gateway - Express verwendet die Einstellung 'bcg.http.CRLDir' in der Datei 'bcg.properties', um die Position des CRL-Verzeichnisses anzugeben.
In der Datei 'bcg.properties' würden Sie zum Beispiel die folgende Einstellung verwenden:
bcg.http.CRLDir=/<gemeinsames_datenverzeichnis>/security/crl
Auf der Seite Zertifikatswiderrufsliste können Sie Zertifikatswiderrufslisten (CRLs) hinzufügen und entfernen. Die CRLs enthalten Listen der Schlüssel, die nicht ordnungsgemäß verwendet wurden und somit nicht mehr vertrauenswürdig sind.
Verwenden Sie zum Hinzufügen einer neuen Zertifikatswiderrufliste (CRL) die folgende Prozedur.
Wenn Sie eine Zertifikatswiderrufliste (CRL) nicht mehr benötigen, können Sie sie anhand der folgenden Prozedur aus WebSphere Partner Gateway - Express löschen.
Zertifizierungsstellen (CAs) verwalten und aktualisieren die Zertifikatswiderrufslisten (CRLs). Diese CRLs befinden sich in der Regel in einem CRL-Verteilungspunkt. CRLs werden während der Durchführung von Widerrufprüfungen für Zertifikate verwendet, um festzustellen, ob das Zertifikat widerrufen wurde.
Das Script bcgSetCRLDP.jacl kann verwendet werden, um die Überprüfung des CRL-Verteilungspunktes zu aktivieren oder zu inaktivieren, wenn die Widerrufprüfung ausgeführt wird. Wenn auf die CRL-Verteilungspunkte während der Wiederrufprüfung eines Zertifikats zugegriffen werden muss, aktivieren Sie die Verwendung der CRL-Verteilungspunkte. Wenn die von Ihnen installierten Zertifikate eine CRL-DP-Erweiterung enthalten, können Sie die Verwendung der CRL-Verteilungspunkte aktivieren, damit auf diese während der Widerrufprüfung zugegriffen werden kann.
Wenn Sie alle erforderlichen CRLs in die Verzeichnisgruppe in der Datei bcg.properties für die Eigenschaft bcg.CRLDir heruntergeladen haben, möchten Sie die Verwendung der CRL-Verteilungspunkte möglicherweise nicht aktivieren. Wenn die aktuellen CRLs möglicherweise nicht im Verzeichnis bcg.CRLDir enthalten sind, sollten Sie die Verwendung der CRL-Verteilungspunkte aktivieren.
Es werden die CRL-Verteilungspunkte unterstützt, auf die über HTTP und LDAP zugegriffen werden kann. Sie können ferner Proxies konfigurieren, um auf die CRL-Verteilungspunkte zuzugreifen.
Führen Sie folgenden Befehl im Verzeichnis <server_root>/bin aus, um die Verwendung der CRL-Verteilungspunkte zu aktivieren:
./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl install <nodename> <serverName> CRLDP
Führen Sie folgenden Befehl im Verzeichnis <server_root>/bin aus, um die Verwendung der CRL-Verteilungspunkte zu inaktivieren:
./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl uninstall <nodename> <serverName> CRLDP
Führen Sie folgenden Befehl im Verzeichnis <server_root>/bin aus, um die Verwendung der CRL-Verteilungspunkte mit einem Proxy zu aktivieren:
./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl install <nodename> <serverName> CRLDP <proxyHost> <proxyPort>
Um anzugeben, dass Sie keinen Proxy verwenden möchten, führen Sie folgenden Befehl im Verzeichnis <server_root>/bin aus:
./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl uninstall <nodename> <serverName> PROXY
Wenn Sie einen Empfänger-Benutzerexit verwenden und wenn dieser Benutzerexit die API SecurityService verwendet, gelten die obigen Einstellungen ebenfalls für den bcgreceiver-Server. Um die obigen Befehle für den Empfänger auszuführen, ersetzen Sie bcgdocmgr durch bcgreceiver.