Trabalhando com Listas de Anulação de Certificação

O WebSphere Partner Gateway - Express inclui um recurso CRL (Certificate Revocation List). A CRL, emitida por uma CA, identifica os participantes da comunidade que possuem certificados revogados antes da data de vencimento planejada. Os participantes que revogaram seus certificados não poderão acessar o WebSphere Partner Gateway - Express.

Cada certificado revogado é identificado em uma CRL por seu número de série de certificado. O Gerenciador de Documentos do WebSphere Partner Gateway - Express's Gerenciador de Documentos varre a CRL a cada 60 segundos e recusará conexões com participantes se a lista contiver um ou mais desses certificados.

As CRLs são armazenadas no seguinte local: /<diretório de dados compartilhados>/security/crl . O WebSphere Partner Gateway - Express utiliza a configuração bcg.http.CRLDir no arquivo bcg.properties para identificar o local do diretório da CRL.

Por exemplo, no arquivo bcg.properties, você utilizaria a seguinte configuração:

bcg.http.CRLDir=/<diretório de dados compartilhados>/security/crl

Utilizando a página Lista de Revogação de Certificados, é possível incluir e excluir CRLs. CRLs contêm listas de chaves que ficaram comprometidas e que, portanto, não são confiáveis.

Incluindo Novas CRLs

Para incluir novas CRLs, siga este procedimento.

  1. Clique na guia Segurança e selecione Lista de Anulação de Certificados na barra de navegação. A página Lista de Anulação de Certificados é exibida.
  2. Clique no botão Incluir Nova CRL. A página Lista de Anulação de Certificados é exibida.
  3. Clique no botão Procurar. A caixa de diálogo Upload de Arquivo é exibida.
  4. Navegue até o local em que reside a CRL que você deseja incluir. Em seguida, clique na CRL e clique no botão Abrir. O caminho em que a CRL reside aparece na página Lista de Anulação de Certificados.
  5. Clique no botão Submeter. A CRL é incluída no WebSphere Partner Gateway - Express e seu nome aparece na página Lista de Anulação de Certificados.
  6. Para incluir mais CRLs, repita as etapas de 2 a 5.

Excluindo uma CRL

Se uma CRL deixar de ser necessária, siga este procedimento para excluí-la do WebSphere Partner Gateway - Express.

  1. Clique na guia Segurança e selecione Lista de Anulação de Certificados na barra de navegação. A página Lista de Anulação de Certificados é exibida.
  2. Na coluna Excluir, clique no ícone Excluir Certificado/Chave para a CRL que você deseja excluir. Uma caixa de diálogo de confirmação é exibida, solicitando a confirmação de que você deseja continuar o processo de exclusão.
  3. Clique em OK para excluir a CRL ou em Cancelar para mantê-la.

Executando o Script bcgSetCRLDP.jacl

As CAs mantêm e atualizam as CRLs. Geralmente, essas CRLs são armazenadas em um ponto de distribuição de CRL. As CRLs são utilizando enquanto estão sendo feitas as verificações de anulação dos certificados para determinar se o certificado deve ou não ser anulado.

O script bcgSetCRLDP.jacl pode ser utilizado para ativar ou desativar a verificação de ponto de distribuição da CRL quando a verificação de anulação é desempenhada. Se você precisar que os pontos de distribuição da CRL sejam acessados durante a execução da verificação de anulação de um certificado, ative o uso de pontos de distribuição da CRL. Se os certificados que você instalou contiverem uma extensão DP de CRL, será possível ativar o uso do ponto de distribuição da CRL, de forma que os pontos sejam acessados quando a tarefa de anulação for desempenhada. Se tiver transferido por download todas as CRLs necessárias no diretório definido em bcg.properties para a propriedade bcg.CRLDir, você poderá não desejar ativar o uso de pontos de distribuição da CRL. Se as CRLs atuais provavelmente não estiverem disponíveis no diretório bcg.CRLDir, você deverá ativar o uso de pontos de distribuição da CRL.

Os pontos acessíveis via HTTP e LDAP são suportados. É possível também configurar proxies para acessar os pontos de distribuição da CRL.

Nota 1:
Para instalações Windows, utilize wsadmin.bat, em vez de ./wsadmin.sh, nos comandos listados nesta seção.

Nota 2:
Em sistemas que executam o i5/OS ou o OS/400, os seguintes comandos são executados de um ambiente QShell (utilize o comando STRQSH). Portanto, é necessário incluir o parâmetro a seguir apenas depois de ./wsadmin:
-wsadmin_classpath /QIBM/ProdData/WSPGExpress60/jaclScripts/classes. Além disso, remova .sh ou .bat de ./wsadmin.

Para ativar o uso de pontos de distribuição da CRL, execute o seguinte comando a partir do diretório <server_root>/bin:

./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl install <nodename> <serverName> CRLDP

Para desativar o uso de pontos de distribuição da CRL, execute o seguinte comando a partir do diretório <server_root>/bin:

./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl uninstall <nodename> <serverName> CRLDP

Para ativar o uso de pontos de distribuição da CRL com um proxy, execute o seguinte comando a partir do diretório <server_root>/bin:

./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl install <nodename> <serverName> CRLDP <proxyHost> <proxyPort>

Para especificar que você deseja utilizar um proxy, execute o seguinte comando a partir do diretório <server_root>/bin:

./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl uninstall <nodename> <serverName> PROXY

Se você estiver utilizando uma saída de usuário Receptor e se a saída de usuário utilizar a API SecurityService, as configurações anteriores serão aplicáveis para o servidor bcgreceiver também. Para executar os comandos acima para o Receptor, substitua bcgdocmgr por bcgreceiver.

Copyright IBM Corp. 2003, 2005