証明書の失効リストでの作業

WebSphere Partner Gateway - Express には、証明書失効リスト (CRL) 機能があります。認証局 (CA) によって発行される CRL により、スケジュールされた有効期限より前に証明書が失効したコミュニティー参加者を識別します。証明書が失効した参加者は、WebSphere Partner Gateway - Express へのアクセスを拒否されます。

失効した各証明書は、証明書のシリアル番号によって CRL 内で識別されます。WebSphere Partner Gateway - Express の Document Manager は、60 秒間に 1 回の割合で CRL をスキャンし、1 つ以上の証明書がリストにある参加者への接続を拒否します。

CRL は、/<shared data directory>/security/crl に保管されます。WebSphere Partner Gateway - Express では、bcg.properties ファイルの bcg.http.CRLDir 設定を使用して、CRL ディレクトリーの場所を識別します。

例えば、bcg.properties ファイルで次の設定を使用するとします。

bcg.http.CRLDir=/<shared data directory>/security/crl

「証明書の失効リスト」ページを使用して、証明書の失効リスト (CRL) を追加および削除できます。CRL には、破られたために信頼すべきでない鍵のリストが含まれています。

新規 CRL の追加

新規 CRL を追加するには、次の手順を実行します。

  1. 「セキュリティー」タブをクリックし、ナビゲーション・バーの「証明書の失効リスト」をクリックします。「証明書の失効リスト」ページが表示されます。
  2. 「新規 CRL の追加」ボタンをクリックします。「証明書の失効リスト」ページが表示されます。
  3. 「参照」ボタンをクリックします。「ファイルのアップロード」ダイアログ・ボックスが表示されます。
  4. 追加する CRL が保管されている場所にナビゲートします。CRL をクリックし、「オープン」ボタンをクリックします。CRL が保管されている場所のパスが「証明書の失効リスト」ページに表示されます。
  5. 「サブミット」ボタンをクリックします。CRL が WebSphere Partner Gateway - Express に追加され、その名前が「証明書の失効リスト」ページに表示されます。
  6. CRL をさらに追加するには、手順 2 から 5 を繰り返します。

CRL の削除

CRL が必要なくなった場合は、以下の手順に従って CRL を WebSphere Partner Gateway - Express から削除します。

  1. 「セキュリティー」タブをクリックし、ナビゲーション・バーの「証明書の失効リスト」をクリックします。「証明書の失効リスト」ページが表示されます。
  2. 「削除」列で、削除する CRL に対応する「証明書/鍵の削除」アイコンをクリックします。確認のダイアログ・ボックスが表示され、削除に進むかどうかの確認を求められます。
  3. 「OK」をクリックして CRL を削除するか、「キャンセル」をクリックして CRL を保持します。

bcgSetCRLDP.jacl スクリプトの実行

CA は CRL を保守および更新します。これらの CRL は、一般的には CRL 配布ポイントに保管されます。CRL は、証明書の失効検査を実行して証明書が失効したかどうかを判定する間に使用されます。

bcgSetCRLDP.jacl スクリプトを使用して、失効検査が実行されたときの CRL 配布ポイントの検査を使用可能または使用不可にすることができます。証明書の失効検査が実行されているときに CRL 配布ポイントにアクセスできるようにする必要がある場合は、CRL 配布ポイントを使用可能にします。インストールした証明書に CRL DP 拡張が含まれている場合は、CRL 配布ポイントを使用可能にし、失効検査の実行中でも配布ポイントにアクセス可能にすることができます。bcg.CRLDir プロパティーの bcg.properties にあるディレクトリー・セットに必要とされるすべての CRL をダウンロードしている場合は、CRL 配布ポイントを使用可能にしなくても構いません。現在の CRL が bcg.CRLDir ディレクトリーで使用可能でない可能性が高い場合は、CRL 配布ポイントを使用可能にしてください。

HTTP および LDAP によってアクセス可能な CRL 配布ポイントがサポートされています。プロキシーを構成して CRL 配布ポイントにアクセスすることもできます。

注 1:
Windows がインストールされている場合は、このセクションのコマンド・リストにある ./wsadmin.sh の代わりに、wsadmin.bat を使用してください。

注 2:
i5/OS または OS/400 が稼働するシステムでは、QShell (STRQSH コマンドを使用) 環境から次のコマンドが実行されます。したがって、./wsadmin のすぐ後に次のパラメーターを追加する必要があります。
-wsadmin_classpath /QIBM/ProdData/WSPGExpress60/jaclScripts/classes。また、./wsadmin から .sh または .bat を必ず除去してください。

CRL 配布ポイントを使用できるようにするには、<server_root>/bin ディレクトリーから次のコマンドを実行します。

./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl install <nodename> <serverName> CRLDP

CRL 配布ポイントを使用できないようにするには、<server_root>/bin ディレクトリーから次のコマンドを実行します。

./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl uninstall <nodename> <serverName> CRLDP

プロキシーによって CRL 配布ポイントを使用できるようにするには、<server_root>/bin ディレクトリーから次のコマンドを実行します。

./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl install <nodename> <serverName> CRLDP <proxyHost> <proxyPort>

プロキシーを使用しないように指定するには、<server_root>/bin ディレクトリーから次のコマンドを実行します。

./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl uninstall <nodename> <serverName> PROXY

Receiver ユーザー出口を使用しており、そのユーザー出口で SecurityService API を使用している場合は、bcgreceiver サーバーにも上述の設定を適用できます。Receiver に対して上述のコマンドを実行する場合は、bcgdocmgrbcgreceiver で置き換えてください。

Copyright IBM Corp. 2003, 2005