WebSphere Partner Gateway - Express 包括“证书撤销列表(CRL)”功能。CRL 由认证中心(CA)颁发,它标识了那些在预定的截止日期前已撤销证书的社区参与者。证书已被撤消的参与者将被拒绝访问 WebSphere Partner Gateway - Express。
在 CRL 中,每个已撤销的证书是按照其证书序列号标识的。WebSphere Partner Gateway - Express 的“文档管理器”每 60 秒扫描一次 CRL,并且在列表包含参与者的一个或多个证书的情况下,拒绝与这些参与者进行连接。
CRL 存储在以下位置:/<shared data directory>/security/crl。WebSphere Partner Gateway - Express 使用 bcg.properties 文件中的设置 bcg.http.CRLDir 来标识 CRL 目录的位置。
例如,在 bcg.properties 文件中,将使用下列设置:
bcg.http.CRLDir=/<shared data directory>/security/crl
您可以使用“证书撤消列表”页面来添加和删除“证书撤消列表”(CRL)。CRL 中包含了一些密钥的列表,这些密钥已经泄密,因此将不再受到信任。
要添加新的 CRL,请使用下面的过程。
如果不再需要某个 CRL,则使用以下过程,将它从 WebSphere Partner Gateway - Express 中删除。
CA 维护和更新 CRL。这些 CRL 通常存储在 CRL 分发点。在对证书执行撤销检查时,使用 CRL 来确定该证书是否已被撤销。
bcgSetCRLDP.jacl 脚本可以在执行撤销检查时用于启用或禁用 CRL 分发点检查。 如果您需要在执行证书撤销检查时访问 CRL 分发点,则启用 CRL 分发点。如果您安装的证书包含 CRL DP 扩展,则可以启用 CRL 分发点,从而可以在执行撤销检查时访问这些分发点。如果已经在 property bcg.CRLDir 的 bcg.properties 的目录集中下载了所有必需的 CRL,则可能不需要启用 CRL 分发点。如果当前的 CRL 在 bcg.CRLDir 目录中可能不可用,则应该启用 CRL 分发点。
支持通过 HTTP 和 LDAP 访问的 CRL 分发点。您还可以配置代理以访问 CRL 分发点。
要启用 CRL 分发点,请运行 <server_root>/bin 目录中的以下命令:
./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl install <nodename> <serverName> CRLDP
要禁用 CRL 分发点,请运行 <server_root>/bin 目录中的以下命令:
./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl uninstall <nodename> <serverName> CRLDP
要通过代理启用 CRL 分发点,请运行 <server_root>/bin 目录中的以下命令:
./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl install <nodename> <serverName> CRLDP <proxyHost> <proxyPort>
要指出您不使用代理,请运行 <server_root>/bin 目录中的以下命令:
./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl uninstall <nodename> <serverName> PROXY
如果您正在使用“接收器”用户出口,并且该用户出口使用 SecurityService API,则以上设置还可用于 bcgreceiver 服务器。要对“接收器”运行以上命令,则将 bcgdocmgr替换为bcgreceiver。