Utilisation des listes de retrait de certificats

WebSphere Partner Gateway - Express inclut une fonction de liste de retrait de certificats (CRL). La liste de retrait de certificats (CRL), émise par une autorité de certification, identifie les participants de la communauté qui ont révoqué des certificats avant leur date d'expiration prévue. Les participants ayant des certificats révoqués se voient refuser l'accès à WebSphere Partner Gateway - Express.

Chaque certificat révoqué est identifié par son numéro de série dans la liste de retrait de certificats. Le Gestionnaire de documents de WebSphere Partner Gateway - Express analyse la liste CRL toutes les 60 secondes et refuse les connexions aux participants si la liste contient déjà un ou plusieurs de leurs certificats.

Les listes de retrait de certificats sont stockées à l'emplacement suivant : /<répertoire de données partagées>/security/crl. WebSphere Partner Gateway - Express utilise le paramètre bcg.http.CRLDir dans le fichier bcg.properties pour identifier l'emplacement du répertoire de la liste de retrait de certificats.

Par exemple, dans le fichier bcg.properties, utilisez le paramètre suivant :

bcg.http.CRLDir=/<répertoire de données partagées>/security/crl.

A l'aide de la page Liste de retrait de certificat, vous pouvez ajouter et supprimer des listes CRL. Les listes CRL contiennent des listes de clés qui ont été compromises et qui ne sont donc pas fiables.

Ajout de listes CRL

Pour ajouter des listes CRL, appliquez la procédure suivante.

  1. Cliquez sur l'onglet Sécurité, puis sur Liste de retrait de certificat dans la barre de navigation. La page Liste de retrait de certificat apparaît.
  2. Cliquez sur le bouton Ajouter une nouvelle liste de retrait de certificat. La page Liste de retrait de certificat apparaît.
  3. Cliquez sur le bouton Parcourir. La boîte de dialogue de téléchargement du fichier apparaît.
  4. Placez-vous dans le répertoire où se trouve la liste CRL que vous souhaitez ajouter. Cliquez ensuite sur la liste CRL, puis sur le bouton Ouvrir. Le chemin de l'emplacement de la liste CRL apparaît dans la page Liste de retrait de certificat.
  5. Cliquez sur le bouton Soumettre. La liste CRL est ajoutée à WebSphere Partner Gateway - Express et son nom apparaît dans la page Liste de retrait de certificat.
  6. Pour ajouter d'autres listes CRL, répétez les étapes 2 à 5.

Suppression d'une liste CRL

Si vous n'avez plus besoin d'une liste CRL, appliquez la procédure suivante pour la supprimer de WebSphere Partner Gateway - Express.

  1. Cliquez sur l'onglet Sécurité, puis sur Liste de retrait de certificat dans la barre de navigation. La page Liste de retrait de certificat apparaît.
  2. Dans la colonne Supprimer, cliquez sur l'icône Supprimer le certificat/la clé qui correspond à la liste CRL à supprimer. Une boîte de dialogue de confirmation apparaît, vous invitant à confirmer la suppression.
  3. Cliquez sur OK pour supprimer la liste CRL ou sur Annuler pour la conserver.

Exécution du script bcgSetCRLDP.jacl

Les autorités de certification gèrent et mettent à jour les listes CRL. Ces listes CRL sont en général stockées dans un point de distribution de CRL. Les listes CRL sont utilisées lors de contrôle de retraits permettant de déterminer si le certificat a été ou non retiré.

Le script bcgSetCRLDP.jacl permet d'activer ou de désactiver le contrôle du point de distribution de CRL lors du contrôle de retrait. Si vous avez besoin d'accéder aux points de distribution de CRL lors du contrôle de retrait d'un certificat, activez l'utilisation des points de distribution de CRL. Si les certificats que vous avez installés contiennent une extension de point de distribution de CRL, vous pouvez activer l'utilisation du point de distribution de CRL afin d'accéder à ces dernier lors du contrôle de retrait. Si vous avez téléchargé toutes les listes CRL requises dans le répertoire défini dans bcg.properties pour la propriété bcg.CRLDir, il n'est pas forcément souhaitable d'activer l'utilisation des point de distribution de CRL. Si les listes CRL en cours ont peu de chances de se trouver dans le répertoire bcg.CRLDir, activez l'utilisation des point de distribution de CRL.

Les points de distribution de CRL accessibles via HTTP et LDAP sont pris en charge. Vous pouvez aussi configurer des proxys pour accéder aux points de distribution de CRL.

Remarque 1 :
Pour les installations Windows, utilisez wsadmin.bat au lieu de ./wsadmin.sh dans les commandes indiquées dans cette section.

Remarque 2 :
Sur les systèmes exécutant i5/OS ou OS/400, les commandes suivantes sont exécutées à partir d'un environnement QShell (avec la commande STRQSH). Par conséquent, vous devez ajouter le paramètre suivant juste après ./wsadmin :
-wsadmin_classpath /QIBM/ProdData/WSPGExpress60/jaclScripts/classes. Veillez aussi à supprimer le .sh ou .bat de ./wsadmin .

Pour activer l'utilisation de points de distribution de CRL, exécutez la commande suivante à partir du répertoire <serveur_root>/bin :

./wsadmin.sh -f <RépProduit>/scripts/bcgSetCRLDP.jacl install <noeud> <Nomserveur> CRLDP

Pour désactiver l'utilisation de points de distribution de CRL, exécutez la commande suivante à partir du répertoire <serveur_root>/bin :

./wsadmin.sh -f <RépProduit>/scripts/bcgSetCRLDP.jacl uninstall <noeud> <Nomserveur> CRLDP

Pour activer l'utilisation de points de distribution de CRL avec un proxy, exécutez la commande suivante à partir du répertoire <serveur_root>/bin :

./wsadmin.sh -f <RépProduit>/scripts/bcgSetCRLDP.jacl install <noeud> <Nomserveur> CRLDP <Hôteproxy> <Portproxy>

Pour indiquer que vous ne voulez pas utiliser de proxy, exécutez la commande suivante à partir du répertoire <serveur_root>/bin :

./wsadmin.sh -f <RépProduit>/scripts/bcgSetCRLDP.jacl uninstall <noeud> <Nomserveur> PROXY

Si vous utilisez un exit utilisateur Récepteur et si cet exit utilise l'API SecurityService, les paramètres ci-dessus s'appliquent aussi au serveur bcgreceiver. Pour exécuter les commandes ci-dessus pour le Récepteur, remplacez bcgdocmgr par bcgreceiver .

Copyright IBM Corp. 2003, 2005