WebSphere Partner Gateway - Express incluye una función de lista de revocación de certificados (CRL). La CRL, emitida por un Autoridad certificadora (CA), identifica los participantes de la comunidad que han revocado certificados antes de su fecha de caducidad planificada. Se denegará el acceso a WebSphere Partner Gateway - Express a los participantes que tengan certificados revocados.
Cada uno de los certificados revocados se identifica en una CRL por su número de serie de certificado. El Gestor de documentos de WebSphere Partner Gateway - Express examina la CRL cada 60 segundos y rechaza conexiones a participantes si la lista contiene uno o más de sus certificados.
Las CRL se almacenan en la ubicación siguiente: /<directorio datos compartidos>/security/crl. WebSphere Partner Gateway - Express utiliza el valor bcg.http.CRLDir en el archivo bcg.properties para identificar la ubicación del directorio CRL.
Por ejemplo, en el archivo bcg.properties, debería utilizar el valor siguiente:
bcg.http.CRLDir=/<directorio datos compartidos>/security/crl
A través de la página Lista de revocación de certificados, puede añadir y suprimir Listas de revocación de certificados (CRL). Las CRL contienen listas de claves que han sido confirmadas y, por lo tanto, no necesitan tener la categoría de fiable.
Para añadir nuevas CRL, utilice el procedimiento siguiente.
Si ya no va a necesitar más una CRL, utilice el procedimiento siguiente para suprimirla de WebSphere Partner Gateway - Express.
Las autoridades certificadoras se ocupan del mantenimiento y de la actualización de las CRL. Estas CRL generalmente se almacenan en un punto de distribución de CRL. Las CRL se utilizan cuando se realizan comprobaciones de revocación de certificados para determinar si el certificado se ha revocado.
El script bcgSetCRLDP.jacl puede utilizarse para habilitar o inhabilitar la comprobación del punto de distribución de CRL cuando se realiza la comprobación de revocación. Si necesita que se pueda acceder a los puntos de distribución de CRL cuando se realiza la comprobación de revocación de un certificado, habilite el uso de puntos de distribución de CRL. Si los certificados que ha instalado contienen una extensión DP de CRL, puede habilitar el uso puntos de distribución de CRL de modo que se pueda acceder a estos puntos cuando se realice la comprobación de revocación. Si ha descargado todas las CRL necesarias en el directorio definido en el archivo bcg.properties para la propiedad bcg.CRLDir, no habilite el uso de puntos de distribución de CRL. Si es probable que las CRL actuales no estén disponibles en el directorio bcg.CRLDir, deberá habilitar el uso de los puntos de distribución de CRL.
Se admite el acceso a los puntos de distribución de CRL a través de HTTP y LDAP. También puede configurar un proxy para acceder a los puntos de distribución de CRL.
Para habilitar el uso de los puntos de distribución de CRL, ejecute el mandato siguiente desde el directorio <raíz_servidor>/bin:
./wsadmin.sh -f <dirProducto>/scripts/bcgSetCRLDP.jacl install <nombreNodo> <nombreServidor> CRLDP
Para inhabilitar el uso de los puntos de distribución de CRL, ejecute el mandato siguiente desde el directorio <raíz_servidor>/bin:
./wsadmin.sh -f <dirProducto>/scripts/bcgSetCRLDP.jacl uninstall <nombreNodo> <nombreServidor> CRLDP
Para habilitar el uso de los puntos de distribución de CRL con un proxy, ejecute el mandato siguiente desde el directorio <raíz_servidor>/bin:
./wsadmin.sh -f <dirProducto>/scripts/bcgSetCRLDP.jacl install <nombreNodo> <nombreServidor> CRLDP <hostProxy> <puertoProxy>
Para especificar que no desea utilizar un proxy, ejecute el mandato siguiente desde el directorio <raíz_servidor>/bin:
./wsadmin.sh -f <dirProducto>/scripts/bcgSetCRLDP.jacl uninstall <nombreNodo> <nombreServidor> PROXY
Si utiliza una salida de usuario receptor y la salida de usuario utiliza la API SecurityService, los valores anteriores también son válidos para el servidor bcgreceiver. Para ejecutar los mandatos anteriores para el receptor, sustituya bcgdocmgr por bcgreceiver.