O WebSphere Partner Gateway - Express inclui um recurso CRL (Certificate Revocation List). A CRL, emitida por uma CA, identifica os participantes da comunidade que possuem certificados revogados antes da data de vencimento planejada. Os participantes que revogaram seus certificados não poderão acessar o WebSphere Partner Gateway - Express.
Cada certificado revogado é identificado em uma CRL por seu número de série de certificado. O Gerenciador de Documentos do WebSphere Partner Gateway - Express's Gerenciador de Documentos varre a CRL a cada 60 segundos e recusará conexões com participantes se a lista contiver um ou mais desses certificados.
As CRLs são armazenadas no seguinte local: /<diretório de dados compartilhados>/security/crl . O WebSphere Partner Gateway - Express utiliza a configuração bcg.http.CRLDir no arquivo bcg.properties para identificar o local do diretório da CRL.
Por exemplo, no arquivo bcg.properties, você utilizaria a seguinte configuração:
bcg.http.CRLDir=/<diretório de dados compartilhados>/security/crl
Utilizando a página Lista de Revogação de Certificados, é possível incluir e excluir CRLs. CRLs contêm listas de chaves que ficaram comprometidas e que, portanto, não são confiáveis.
Para incluir novas CRLs, siga este procedimento.
Se uma CRL deixar de ser necessária, siga este procedimento para excluí-la do WebSphere Partner Gateway - Express.
As CAs mantêm e atualizam as CRLs. Geralmente, essas CRLs são armazenadas em um ponto de distribuição de CRL. As CRLs são utilizando enquanto estão sendo feitas as verificações de anulação dos certificados para determinar se o certificado deve ou não ser anulado.
O script bcgSetCRLDP.jacl pode ser utilizado para ativar ou desativar a verificação de ponto de distribuição da CRL quando a verificação de anulação é desempenhada. Se você precisar que os pontos de distribuição da CRL sejam acessados durante a execução da verificação de anulação de um certificado, ative o uso de pontos de distribuição da CRL. Se os certificados que você instalou contiverem uma extensão DP de CRL, será possível ativar o uso do ponto de distribuição da CRL, de forma que os pontos sejam acessados quando a tarefa de anulação for desempenhada. Se tiver transferido por download todas as CRLs necessárias no diretório definido em bcg.properties para a propriedade bcg.CRLDir, você poderá não desejar ativar o uso de pontos de distribuição da CRL. Se as CRLs atuais provavelmente não estiverem disponíveis no diretório bcg.CRLDir, você deverá ativar o uso de pontos de distribuição da CRL.
Os pontos acessíveis via HTTP e LDAP são suportados. É possível também configurar proxies para acessar os pontos de distribuição da CRL.
Para ativar o uso de pontos de distribuição da CRL, execute o seguinte comando a partir do diretório <server_root>/bin:
./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl install <nodename> <serverName> CRLDP
Para desativar o uso de pontos de distribuição da CRL, execute o seguinte comando a partir do diretório <server_root>/bin:
./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl uninstall <nodename> <serverName> CRLDP
Para ativar o uso de pontos de distribuição da CRL com um proxy, execute o seguinte comando a partir do diretório <server_root>/bin:
./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl install <nodename> <serverName> CRLDP <proxyHost> <proxyPort>
Para especificar que você deseja utilizar um proxy, execute o seguinte comando a partir do diretório <server_root>/bin:
./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl uninstall <nodename> <serverName> PROXY
Se você estiver utilizando uma saída de usuário Receptor e se a saída de usuário utilizar a API SecurityService, as configurações anteriores serão aplicáveis para o servidor bcgreceiver também. Para executar os comandos acima para o Receptor, substitua bcgdocmgr por bcgreceiver.