Mit Zertifikatswiderrufslisten arbeiten

WebSphere Partner Gateway - Express enthält eine CRL-Funktion (CRL=Certificate Revocation List, Zertifikatswiderrufsliste). Die CRL, die von einer Zertifizierungsstelle (Certificate Authority, CA) herausgegeben wird, gibt die Teilnehmer der Community an, die Zertifikate vor ihrem terminierten Ablaufdatum widerrufen haben. Teilnehmern mit widerrufenen Zertifikaten wird der Zugriff auf WebSphere Partner Gateway - Express verweigert.

Jedes widerrufene Zertifikat wird in einer CRL durch seine fortlaufende Zertifikatsnummer angegeben. Die Komponente Document Manager in WebSphere Partner Gateway - Express durchsucht die CRL in Abständen von 60 Sekunden und verweigert Verbindungen zu Teilnehmern, wenn mindestens eines ihrer Zertifikate in der Liste enthalten ist.

CRLs werden an der folgenden Position gespeichert: /<gemeinsames_datenverzeichnis>/security/crl. WebSphere Partner Gateway - Express verwendet die Einstellung 'bcg.http.CRLDir' in der Datei 'bcg.properties', um die Position des CRL-Verzeichnisses anzugeben.

In der Datei 'bcg.properties' würden Sie zum Beispiel die folgende Einstellung verwenden:

bcg.http.CRLDir=/<gemeinsames_datenverzeichnis>/security/crl

Auf der Seite Zertifikatswiderrufsliste können Sie Zertifikatswiderrufslisten (CRLs) hinzufügen und entfernen. Die CRLs enthalten Listen der Schlüssel, die nicht ordnungsgemäß verwendet wurden und somit nicht mehr vertrauenswürdig sind.

Neue CRLs hinzufügen

Verwenden Sie zum Hinzufügen einer neuen Zertifikatswiderrufliste (CRL) die folgende Prozedur.

  1. Klicken Sie auf die Registerkarte Sicherheit und anschließend in der Naviga- tionsleiste auf Zertifikatswiderrufsliste. Die Seite Zertifikatswiderrufsliste wird angezeigt.
  2. Klicken Sie auf die Schaltfläche Neue CRL hinzufügen. Die Seite Zertifikatswiderrufsliste wird angezeigt.
  3. Klicken Sie auf die Schaltfläche Durchsuchen. Das Dialogfenster zum Hochladen von Dateien wird angezeigt.
  4. Navigieren Sie zu der Position, an der sich die CRL befindet, die Sie hinzufügen möchten. Klicken Sie anschließend auf die CRL, und klicken Sie auf die Schaltfläche Öffnen. Der Pfad, in dem sich die CRL befindet, wird auf der Seite Zertifikatswiderrufsliste angezeigt.
  5. Klicken Sie auf die Schaltfläche Übergeben. Die CRL wird zu WebSphere Partner Gateway - Express hinzugefügt, und ihr Name wird auf der Seite Zertifikatswiderrufsliste angezeigt.
  6. Wenn Sie weitere CRLs hinzufügen möchten, wiederholen Sie die Schritte 2 bis 5.

Eine CRL löschen

Wenn Sie eine Zertifikatswiderrufliste (CRL) nicht mehr benötigen, können Sie sie anhand der folgenden Prozedur aus WebSphere Partner Gateway - Express löschen.

  1. Klicken Sie auf die Registerkarte Sicherheit und anschließend in der Naviga- tionsleiste auf Zertifikatswiderrufsliste. Die Seite Zertifikatswiderrufsliste wird angezeigt.
  2. Klicken Sie in der Spalte Löschen auf das Symbol Zertifikat/Schlüssel löschen für die zu löschende Zertifikatswiderrufliste (CRL). Daraufhin wird ein Dialogfenster angezeigt, in dem Sie bestätigen müssen, dass Sie mit dem Löschen fortfahren möchten.
  3. Klicken Sie auf OK, um die CRL zu löschen, oder auf Abbrechen, um sie beizubehalten.

Das Script bcgSetCRLDP.jacl ausführen

Zertifizierungsstellen (CAs) verwalten und aktualisieren die Zertifikatswiderrufslisten (CRLs). Diese CRLs befinden sich in der Regel in einem CRL-Verteilungspunkt. CRLs werden während der Durchführung von Widerrufprüfungen für Zertifikate verwendet, um festzustellen, ob das Zertifikat widerrufen wurde.

Das Script bcgSetCRLDP.jacl kann verwendet werden, um die Überprüfung des CRL-Verteilungspunktes zu aktivieren oder zu inaktivieren, wenn die Widerrufprüfung ausgeführt wird. Wenn auf die CRL-Verteilungspunkte während der Wiederrufprüfung eines Zertifikats zugegriffen werden muss, aktivieren Sie die Verwendung der CRL-Verteilungspunkte. Wenn die von Ihnen installierten Zertifikate eine CRL-DP-Erweiterung enthalten, können Sie die Verwendung der CRL-Verteilungspunkte aktivieren, damit auf diese während der Widerrufprüfung zugegriffen werden kann.

Wenn Sie alle erforderlichen CRLs in die Verzeichnisgruppe in der Datei bcg.properties für die Eigenschaft bcg.CRLDir heruntergeladen haben, möchten Sie die Verwendung der CRL-Verteilungspunkte möglicherweise nicht aktivieren. Wenn die aktuellen CRLs möglicherweise nicht im Verzeichnis bcg.CRLDir enthalten sind, sollten Sie die Verwendung der CRL-Verteilungspunkte aktivieren.

Es werden die CRL-Verteilungspunkte unterstützt, auf die über HTTP und LDAP zugegriffen werden kann. Sie können ferner Proxies konfigurieren, um auf die CRL-Verteilungspunkte zuzugreifen.

Hinweis 1:
Verwenden Sie für Windows-Installationen wsadmin.bat und nicht ./wsadmin.sh, wie in den in diesem Abschnitt aufgelisteten Befehlen.

Hinweis 2:
Bei i5/OS- oder OS/400-Systemen werden die folgenden Befehle von einer QShell-Umgebung ausgeführt (verwenden Sie den Befehl STRQSH). Daher müssen Sie die folgenden Parameter direkt nach ./wsadmin einfügen:
-wsadmin_classpath /QIBM/ProdData/WSPGExpress60/jaclScripts/classes. Stellen Sie ferner sicher, dass .sh oder .bat aus ./wsadmin entfernt wird.

Führen Sie folgenden Befehl im Verzeichnis <server_root>/bin aus, um die Verwendung der CRL-Verteilungspunkte zu aktivieren:

./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl install <nodename> <serverName> CRLDP

Führen Sie folgenden Befehl im Verzeichnis <server_root>/bin aus, um die Verwendung der CRL-Verteilungspunkte zu inaktivieren:

./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl uninstall <nodename> <serverName> CRLDP

Führen Sie folgenden Befehl im Verzeichnis <server_root>/bin aus, um die Verwendung der CRL-Verteilungspunkte mit einem Proxy zu aktivieren:

./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl install <nodename> <serverName> CRLDP <proxyHost> <proxyPort>

Um anzugeben, dass Sie keinen Proxy verwenden möchten, führen Sie folgenden Befehl im Verzeichnis <server_root>/bin aus:

./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl uninstall <nodename> <serverName> PROXY

Wenn Sie einen Empfänger-Benutzerexit verwenden und wenn dieser Benutzerexit die API SecurityService verwendet, gelten die obigen Einstellungen ebenfalls für den bcgreceiver-Server. Um die obigen Befehle für den Empfänger auszuführen, ersetzen Sie bcgdocmgr durch bcgreceiver.

Copyright IBM Corp. 2003, 2005