WebSphere Partner Gateway - Express inclut une fonction de liste de retrait de certificats (CRL). La liste de retrait de certificats (CRL), émise par une autorité de certification, identifie les participants de la communauté qui ont révoqué des certificats avant leur date d'expiration prévue. Les participants ayant des certificats révoqués se voient refuser l'accès à WebSphere Partner Gateway - Express.
Chaque certificat révoqué est identifié par son numéro de série dans la liste de retrait de certificats. Le Gestionnaire de documents de WebSphere Partner Gateway - Express analyse la liste CRL toutes les 60 secondes et refuse les connexions aux participants si la liste contient déjà un ou plusieurs de leurs certificats.
Les listes de retrait de certificats sont stockées à l'emplacement suivant : /<répertoire de données partagées>/security/crl. WebSphere Partner Gateway - Express utilise le paramètre bcg.http.CRLDir dans le fichier bcg.properties pour identifier l'emplacement du répertoire de la liste de retrait de certificats.
Par exemple, dans le fichier bcg.properties, utilisez le paramètre suivant :
bcg.http.CRLDir=/<répertoire de données partagées>/security/crl.
A l'aide de la page Liste de retrait de certificat, vous pouvez ajouter et supprimer des listes CRL. Les listes CRL contiennent des listes de clés qui ont été compromises et qui ne sont donc pas fiables.
Pour ajouter des listes CRL, appliquez la procédure suivante.
Si vous n'avez plus besoin d'une liste CRL, appliquez la procédure suivante pour la supprimer de WebSphere Partner Gateway - Express.
Les autorités de certification gèrent et mettent à jour les listes CRL. Ces listes CRL sont en général stockées dans un point de distribution de CRL. Les listes CRL sont utilisées lors de contrôle de retraits permettant de déterminer si le certificat a été ou non retiré.
Le script bcgSetCRLDP.jacl permet d'activer ou de désactiver le contrôle du point de distribution de CRL lors du contrôle de retrait. Si vous avez besoin d'accéder aux points de distribution de CRL lors du contrôle de retrait d'un certificat, activez l'utilisation des points de distribution de CRL. Si les certificats que vous avez installés contiennent une extension de point de distribution de CRL, vous pouvez activer l'utilisation du point de distribution de CRL afin d'accéder à ces dernier lors du contrôle de retrait. Si vous avez téléchargé toutes les listes CRL requises dans le répertoire défini dans bcg.properties pour la propriété bcg.CRLDir, il n'est pas forcément souhaitable d'activer l'utilisation des point de distribution de CRL. Si les listes CRL en cours ont peu de chances de se trouver dans le répertoire bcg.CRLDir, activez l'utilisation des point de distribution de CRL.
Les points de distribution de CRL accessibles via HTTP et LDAP sont pris en charge. Vous pouvez aussi configurer des proxys pour accéder aux points de distribution de CRL.
Pour activer l'utilisation de points de distribution de CRL, exécutez la commande suivante à partir du répertoire <serveur_root>/bin :
./wsadmin.sh -f <RépProduit>/scripts/bcgSetCRLDP.jacl install <noeud> <Nomserveur> CRLDP
Pour désactiver l'utilisation de points de distribution de CRL, exécutez la commande suivante à partir du répertoire <serveur_root>/bin :
./wsadmin.sh -f <RépProduit>/scripts/bcgSetCRLDP.jacl uninstall <noeud> <Nomserveur> CRLDP
Pour activer l'utilisation de points de distribution de CRL avec un proxy, exécutez la commande suivante à partir du répertoire <serveur_root>/bin :
./wsadmin.sh -f <RépProduit>/scripts/bcgSetCRLDP.jacl install <noeud> <Nomserveur> CRLDP <Hôteproxy> <Portproxy>
Pour indiquer que vous ne voulez pas utiliser de proxy, exécutez la commande suivante à partir du répertoire <serveur_root>/bin :
./wsadmin.sh -f <RépProduit>/scripts/bcgSetCRLDP.jacl uninstall <noeud> <Nomserveur> PROXY
Si vous utilisez un exit utilisateur Récepteur et si cet exit utilise l'API SecurityService, les paramètres ci-dessus s'appliquent aussi au serveur bcgreceiver. Pour exécuter les commandes ci-dessus pour le Récepteur, remplacez bcgdocmgr par bcgreceiver .