使用证书撤销列表

WebSphere Partner Gateway - Express 包括“证书撤销列表(CRL)”功能。CRL 由认证中心(CA)颁发,它标识了那些在预定的截止日期前已撤销证书的社区参与者。证书已被撤消的参与者将被拒绝访问 WebSphere Partner Gateway - Express。

在 CRL 中,每个已撤销的证书是按照其证书序列号标识的。WebSphere Partner Gateway - Express 的“文档管理器”每 60 秒扫描一次 CRL,并且在列表包含参与者的一个或多个证书的情况下,拒绝与这些参与者进行连接。

CRL 存储在以下位置:/<shared data directory>/security/crl。WebSphere Partner Gateway - Express 使用 bcg.properties 文件中的设置 bcg.http.CRLDir 来标识 CRL 目录的位置。

例如,在 bcg.properties 文件中,将使用下列设置:

bcg.http.CRLDir=/<shared data directory>/security/crl

您可以使用“证书撤消列表”页面来添加和删除“证书撤消列表”(CRL)。CRL 中包含了一些密钥的列表,这些密钥已经泄密,因此将不再受到信任。

添加新的 CRL

要添加新的 CRL,请使用下面的过程。

  1. 单击安全性选项卡,然后单击导航栏中的证书撤销列表。这样会出现“证书撤消列表”页面。
  2. 单击添加新的 CRL 按钮。这样会出现“证书撤消列表”页面。
  3. 单击浏览按钮。这样会出现“文件上载”对话框。
  4. 浏览至想要添加的 CRL 所在的位置。然后单击该 CRL 并单击打开按钮。这样一来,证书所在的路径就会出现在“证书撤消列表”页面。
  5. 单击提交按钮。这样就会将 CRL 添加到 WebSphere Partner Gateway - Express,并在“证书撤销列表”页面显示其名称。
  6. 要添加更多 CRL,请重复步骤 2 至 5。

删除 CRL

如果不再需要某个 CRL,则使用以下过程,将它从 WebSphere Partner Gateway - Express 中删除。

  1. 单击安全性选项卡,然后单击导航栏中的证书撤销列表。这样会出现“证书撤消列表”页面。
  2. 删除列中,单击您要删除的 CRL 的 删除证书/密钥图标。这样会出现一个确认对话框,询问您是否确定要继续该删除操作。
  3. 单击确定以删除该 CRL 或单击取消以保留它。

运行 bcgSetCRLDP.jacl 脚本

CA 维护和更新 CRL。这些 CRL 通常存储在 CRL 分发点。在对证书执行撤销检查时,使用 CRL 来确定该证书是否已被撤销。

bcgSetCRLDP.jacl 脚本可以在执行撤销检查时用于启用或禁用 CRL 分发点检查。 如果您需要在执行证书撤销检查时访问 CRL 分发点,则启用 CRL 分发点。如果您安装的证书包含 CRL DP 扩展,则可以启用 CRL 分发点,从而可以在执行撤销检查时访问这些分发点。如果已经在 property bcg.CRLDir 的 bcg.properties 的目录集中下载了所有必需的 CRL,则可能不需要启用 CRL 分发点。如果当前的 CRL 在 bcg.CRLDir 目录中可能不可用,则应该启用 CRL 分发点。

支持通过 HTTP 和 LDAP 访问的 CRL 分发点。您还可以配置代理以访问 CRL 分发点。

注 1:
对于 Windows 安装,使用本部分中所列的命令中的 wsadmin.bat,而不是 ./wsadmin.sh。

注 2:
在运行 i5/OS 或 OS/400 的系统上,从 QShell(使用 STRQSH 命令)环境中执行以下命令。因此,您必须使以下参数紧跟在 ./wsadmin 之后:
-wsadmin_classpath /QIBM/ProdData/WSPGExpress60/jaclScripts/classes. 还要确保从 ./wsadmin中除去 .sh.bat

要启用 CRL 分发点,请运行 <server_root>/bin 目录中的以下命令:

./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl install <nodename> <serverName> CRLDP

要禁用 CRL 分发点,请运行 <server_root>/bin 目录中的以下命令:

./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl uninstall <nodename> <serverName> CRLDP

要通过代理启用 CRL 分发点,请运行 <server_root>/bin 目录中的以下命令:

./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl install <nodename> <serverName> CRLDP <proxyHost> <proxyPort>

要指出您不使用代理,请运行 <server_root>/bin 目录中的以下命令:

./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl uninstall <nodename> <serverName> PROXY

如果您正在使用“接收器”用户出口,并且该用户出口使用 SecurityService API,则以上设置还可用于 bcgreceiver 服务器。要对“接收器”运行以上命令,则将 bcgdocmgr替换为bcgreceiver

Copyright IBM Corp. 2003, 2005