Trabajo con las listas de revocación de certificados

WebSphere Partner Gateway - Express incluye una función de lista de revocación de certificados (CRL). La CRL, emitida por un Autoridad certificadora (CA), identifica los participantes de la comunidad que han revocado certificados antes de su fecha de caducidad planificada. Se denegará el acceso a WebSphere Partner Gateway - Express a los participantes que tengan certificados revocados.

Cada uno de los certificados revocados se identifica en una CRL por su número de serie de certificado. El Gestor de documentos de WebSphere Partner Gateway - Express examina la CRL cada 60 segundos y rechaza conexiones a participantes si la lista contiene uno o más de sus certificados.

Las CRL se almacenan en la ubicación siguiente: /<directorio datos compartidos>/security/crl. WebSphere Partner Gateway - Express utiliza el valor bcg.http.CRLDir en el archivo bcg.properties para identificar la ubicación del directorio CRL.

Por ejemplo, en el archivo bcg.properties, debería utilizar el valor siguiente:

bcg.http.CRLDir=/<directorio datos compartidos>/security/crl

A través de la página Lista de revocación de certificados, puede añadir y suprimir Listas de revocación de certificados (CRL). Las CRL contienen listas de claves que han sido confirmadas y, por lo tanto, no necesitan tener la categoría de fiable.

Adición de nuevas CRL

Para añadir nuevas CRL, utilice el procedimiento siguiente.

  1. Pulse la pestaña Seguridad y, a continuación, pulse Lista de revocación de certificados en la barra de navegación. Aparece la página Lista de revocación de certificados.
  2. Pulse el botón Añadir nueva CRL. Aparece la página Lista de revocación de certificados.
  3. Pulse el botón Examinar. Aparece el recuadro de diálogo Subida de archivo.
  4. Vaya hasta la ubicación en la que está la CRL que desea añadir. A continuación, pulse la CRL y pulse el botón Abrir. La vía de acceso en la que se encuentra la CRL aparece en la página Lista de revocación de certificados.
  5. Pulse el botón Enviar. La CRL se añade a WebSphere Partner Gateway - Express y su nombre aparece en la página Lista de revocación de certificados.
  6. Para añadir más CRL, repita los pasos del 2 al 5.

Supresión de una CRL

Si ya no va a necesitar más una CRL, utilice el procedimiento siguiente para suprimirla de WebSphere Partner Gateway - Express.

  1. Pulse la pestaña Seguridad y, a continuación, pulse Lista de revocación de certificados en la barra de navegación. Aparece la página Lista de revocación de certificados.
  2. En la columna Suprimir, pulse el icono Suprimir certificado/clave para la CRL que desea suprimir. Aparece un recuadro de diálogo de confirmación que le pedirá que confirme que desea continuar con esta acción.
  3. Pulse Aceptar para suprimir la CRL o Cancelar para conservarla.

Ejecución del script bcgSetCRLDP.jacl

Las autoridades certificadoras se ocupan del mantenimiento y de la actualización de las CRL. Estas CRL generalmente se almacenan en un punto de distribución de CRL. Las CRL se utilizan cuando se realizan comprobaciones de revocación de certificados para determinar si el certificado se ha revocado.

El script bcgSetCRLDP.jacl puede utilizarse para habilitar o inhabilitar la comprobación del punto de distribución de CRL cuando se realiza la comprobación de revocación. Si necesita que se pueda acceder a los puntos de distribución de CRL cuando se realiza la comprobación de revocación de un certificado, habilite el uso de puntos de distribución de CRL. Si los certificados que ha instalado contienen una extensión DP de CRL, puede habilitar el uso puntos de distribución de CRL de modo que se pueda acceder a estos puntos cuando se realice la comprobación de revocación. Si ha descargado todas las CRL necesarias en el directorio definido en el archivo bcg.properties para la propiedad bcg.CRLDir, no habilite el uso de puntos de distribución de CRL. Si es probable que las CRL actuales no estén disponibles en el directorio bcg.CRLDir, deberá habilitar el uso de los puntos de distribución de CRL.

Se admite el acceso a los puntos de distribución de CRL a través de HTTP y LDAP. También puede configurar un proxy para acceder a los puntos de distribución de CRL.

Nota 1:
para las instalaciones en Windows, utilice wsadmin.bat en lugar de ./wsadmin.sh en los mandatos que se indican en este apartado.

Nota 2:
en los sistemas que ejecutan i5/OS u OS/400, los mandatos siguientes se ejecutan desde un entorno QShell (utilice el mandato STRQSH). Por consiguiente, deberá añadir el parámetro siguiente justo después de ./wsadmin:
-wsadmin_classpath /QIBM/ProdData/WSPGExpress60/jaclScripts/classes. Asimismo, asegúrese de eliminar .sh o .bat de ./wsadmin.

Para habilitar el uso de los puntos de distribución de CRL, ejecute el mandato siguiente desde el directorio <raíz_servidor>/bin:

./wsadmin.sh -f <dirProducto>/scripts/bcgSetCRLDP.jacl install <nombreNodo> <nombreServidor> CRLDP

Para inhabilitar el uso de los puntos de distribución de CRL, ejecute el mandato siguiente desde el directorio <raíz_servidor>/bin:

./wsadmin.sh -f <dirProducto>/scripts/bcgSetCRLDP.jacl uninstall <nombreNodo> <nombreServidor> CRLDP

Para habilitar el uso de los puntos de distribución de CRL con un proxy, ejecute el mandato siguiente desde el directorio <raíz_servidor>/bin:

./wsadmin.sh -f <dirProducto>/scripts/bcgSetCRLDP.jacl install <nombreNodo> <nombreServidor> CRLDP <hostProxy> <puertoProxy>

Para especificar que no desea utilizar un proxy, ejecute el mandato siguiente desde el directorio <raíz_servidor>/bin:

./wsadmin.sh -f <dirProducto>/scripts/bcgSetCRLDP.jacl uninstall <nombreNodo> <nombreServidor> PROXY

Si utiliza una salida de usuario receptor y la salida de usuario utiliza la API SecurityService, los valores anteriores también son válidos para el servidor bcgreceiver. Para ejecutar los mandatos anteriores para el receptor, sustituya bcgdocmgr por bcgreceiver.

Copyright IBM Corp. 2003, 2005