WebSphere Partner Gateway - Express には、証明書失効リスト (CRL) 機能があります。認証局 (CA) によって発行される CRL により、スケジュールされた有効期限より前に証明書が失効したコミュニティー参加者を識別します。証明書が失効した参加者は、WebSphere Partner Gateway - Express へのアクセスを拒否されます。
失効した各証明書は、証明書のシリアル番号によって CRL 内で識別されます。WebSphere Partner Gateway - Express の Document Manager は、60 秒間に 1 回の割合で CRL をスキャンし、1 つ以上の証明書がリストにある参加者への接続を拒否します。
CRL は、/<shared data directory>/security/crl に保管されます。WebSphere Partner Gateway - Express では、bcg.properties ファイルの bcg.http.CRLDir 設定を使用して、CRL ディレクトリーの場所を識別します。
例えば、bcg.properties ファイルで次の設定を使用するとします。
bcg.http.CRLDir=/<shared data directory>/security/crl
「証明書の失効リスト」ページを使用して、証明書の失効リスト (CRL) を追加および削除できます。CRL には、破られたために信頼すべきでない鍵のリストが含まれています。
新規 CRL を追加するには、次の手順を実行します。
CRL が必要なくなった場合は、以下の手順に従って CRL を WebSphere Partner Gateway - Express から削除します。
CA は CRL を保守および更新します。これらの CRL は、一般的には CRL 配布ポイントに保管されます。CRL は、証明書の失効検査を実行して証明書が失効したかどうかを判定する間に使用されます。
bcgSetCRLDP.jacl スクリプトを使用して、失効検査が実行されたときの CRL 配布ポイントの検査を使用可能または使用不可にすることができます。証明書の失効検査が実行されているときに CRL 配布ポイントにアクセスできるようにする必要がある場合は、CRL 配布ポイントを使用可能にします。インストールした証明書に CRL DP 拡張が含まれている場合は、CRL 配布ポイントを使用可能にし、失効検査の実行中でも配布ポイントにアクセス可能にすることができます。bcg.CRLDir プロパティーの bcg.properties にあるディレクトリー・セットに必要とされるすべての CRL をダウンロードしている場合は、CRL 配布ポイントを使用可能にしなくても構いません。現在の CRL が bcg.CRLDir ディレクトリーで使用可能でない可能性が高い場合は、CRL 配布ポイントを使用可能にしてください。
HTTP および LDAP によってアクセス可能な CRL 配布ポイントがサポートされています。プロキシーを構成して CRL 配布ポイントにアクセスすることもできます。
CRL 配布ポイントを使用できるようにするには、<server_root>/bin ディレクトリーから次のコマンドを実行します。
./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl install <nodename> <serverName> CRLDP
CRL 配布ポイントを使用できないようにするには、<server_root>/bin ディレクトリーから次のコマンドを実行します。
./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl uninstall <nodename> <serverName> CRLDP
プロキシーによって CRL 配布ポイントを使用できるようにするには、<server_root>/bin ディレクトリーから次のコマンドを実行します。
./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl install <nodename> <serverName> CRLDP <proxyHost> <proxyPort>
プロキシーを使用しないように指定するには、<server_root>/bin ディレクトリーから次のコマンドを実行します。
./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl uninstall <nodename> <serverName> PROXY
Receiver ユーザー出口を使用しており、そのユーザー出口で SecurityService API を使用している場合は、bcgreceiver サーバーにも上述の設定を適用できます。Receiver に対して上述のコマンドを実行する場合は、bcgdocmgr を bcgreceiver で置き換えてください。