使用憑證廢止清冊

WebSphere Partner Gateway - Express 包含一個「憑證廢止清冊 (CRL)」特性。憑證管理中心 (CA) 所發出的 CRL 會指出在排定的到期日之前取消憑證的社群參與者。 當參與者的憑證已經被廢除時,參與者就無法存取 WebSphere Partner Gateway - Express。

CRL 會用它的憑證序號來識別每個已取消的憑證。 WebSphere Partner Gateway - Express 的「文件管理程式」每 60 秒就會掃描 CRL 一次, 如果清單中含有一或多個參與者的憑證,就會拒絕參與者的連線。

CRL 是儲存在下列位置中:/<shared data directory>/security/crl。WebSphere Partner Gateway - Express 會使用 bcg.properties 檔中的 bcg.http.CRLDir 設定來識別 CRL 目錄的位置。

比方說,在 bcg.properties 檔中,您將使用下列設定:

bcg.http.CRLDir=/<shared data directory>/security/crl

您可以利用「憑證廢止清冊」頁面來新增和刪除「憑證廢止清冊 (CRL)」。 CRL 包含已洩漏因而不應信任的金鑰清單。

新增新的 CRL

如果要新增新的 CRL,請遵循下列程序。

  1. 按一下安全標籤,然後按一下導覽列中的憑證廢止清冊。這時會出現「憑證廢止清冊」頁面。
  2. 按一下新增新的 CRL 按鈕。這時會出現「憑證廢止清冊」頁面。
  3. 按一下瀏覽按鈕。這時會出現「檔案上傳」對話框。
  4. 導覽至您要新增的 CRL 所在的位置。 之後,按一下 CRL,再按一下開啟按鈕。 CRL 所在的路徑會出現在「憑證廢止清冊」頁面中。
  5. 按一下送出按鈕。這時會將憑證新增至 WebSphere Partner Gateway - Express, 然後它的名稱會出現在「憑證廢止清冊」頁面中。
  6. 如果要新增其他 CRL,請重複第 2-5 步驟。

刪除 CRL

如果您已不再需要某個 CRL,請使用下列程序來從 WebSphere Partner Gateway - Express 中刪除這個 CRL。

  1. 按一下安全標籤,然後按一下導覽列中的憑證廢止清冊。這時會出現「憑證廢止清冊」頁面。
  2. 刪除直欄中,按一下您要刪除的 CRL 的刪除憑證/金鑰圖示。 這時會出現一個確認對話框,要求您確認是否要繼續進行刪除作業。
  3. 按一下確定來刪除 CRL,或按一下取消來保留它。

執行 bcgSetCRLDP.jacl Script

CA 會維護和更新 CRL。這些 CRL 通常是儲存在某個 CRL 分送點中。在對憑證執行廢除檢查時,會使用 CRL 來判斷憑證是否已經廢除。

bcgSetCRLDP.jacl Script 可用來停用或啟用執行廢除檢查時的 CRL 分送點檢查。 如果在執行憑證的廢除檢查時,如果您需要存取 CRL 分送點, 請啟用 CRL 分送點的使用。如果您安裝的憑證包含 CRL DP 延伸, 您可以啟用 CRL 分送點,以便在執行廢除檢查時存取分送點。如果您已經下載所有必要的 CRL(在 bcg.CRLDir 內容的 bcg.properties 中設定的目錄裡), 您可能不會想要啟用 CRL 分送點。如果現行的 CRL 在 bcg.CRLDir 目錄中可能無法取得,那麼您應該啟用 CRL 分送點。

CRL 分送點可以透過 HTTP 和 LDAP 來存取。您也可以配置 Proxy 來存取 CRL 分送點。

附註 1:
若為 Windows 安裝架構,請在本節所列出的指令中,使用 wsadmin.bat 來替代 ./wsadmin.sh。

附註 2:
在執行 i5/OS 或 OS/400 的系統上,下列指令是從 QShell 環境來執行(使用 STRQSH 指令)。因此, 您必須將下列參數新增至 ./wsadmin 後面:
-wsadmin_classpath /QIBM/ProdData/WSPGExpress60/jaclScripts/classes. 同時,請務必從 ./wsadmin 移除 .sh.bat

如果要啟用 CRL 分送點,請從 <server_root>/bin 目錄執行下列指令:

./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl install <nodename> <serverName> CRLDP

如果要停用 CRL 分送點,請從 <server_root>/bin 目錄執行下列指令:

./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl uninstall <nodename> <serverName> CRLDP

如果要將 CRL 分送點搭配 Proxy 使用,請從 <server_root>/bin 目錄執行下列指令:

./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl install <nodename> <serverName> CRLDP <proxyHost> <proxyPort>

如果要指定您不要使用 Proxy,請從 <server_root>/bin 目錄執行下列指令:

./wsadmin.sh -f <ProductDir>/scripts/bcgSetCRLDP.jacl uninstall <nodename> <serverName> PROXY

如果您使用「接收端」使用者跳出程式,而使用者跳出程式使用 SecurityService API, 則上述設定也適用於 bcgreceiver 伺服器。如果要為「接收端」執行上述指令, 請將 bcgdocmgr 取代為 bcgreceiver

Copyright IBM Corp. 2003, 2005