証明書失効リストの構成設定

このページを使用して、証明書の妥当性を確認する証明書の失効のリストを指定します。 アプリケーション・サーバーは、証明書失効リスト (CRL) を検査して、 クライアント証明書の妥当性を判別します。 証明書失効リスト内に見つかる証明書は、期限切れになって いなくても、証明書を発行した認証局 (CA) によって信頼されなくなっています。 CA は、クライアント権限が完全ではないと信じている場合は、 証明書失効リストに証明書を追加する可能性があります。
WebSphere® Application Server 管理コンソール・パネルをコレクション証明書ストア用にサーバー・レベルで表示するには、 以下のステップを実行します。
  1. サーバー」>「アプリケーション・サーバー」>「server_name」の順にクリックします。
  2. 「セキュリティー」の下で、「Web services: Default bindings for Web services security」をクリックします。
  3. 「追加プロパティー」の下で、「Collection certificate store」をクリックします。
  4. 構成済みのコレクション証明書ストアの名前をクリックするか、最初に新規のコレクション証明書ストアを 作成します。
  5. 「追加プロパティー」の下で、「Certificate revocation lists」>「新規」の順にクリックして 新規リストへのパスを指定するか、証明書失効リストの名前をクリックして、パスを変更します。
この WebSphere Application Server 管理コンソール・ページをコレクション証明書ストア用にアプリケーション・レベルで表示するには、 以下のステップを完了します。
  1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
  2. 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
  3. 「追加プロパティー」の下で、以下のバインディングについて、コレクション証明書ストアにアクセスできます。
    • 要求生成プログラムの場合、「Web サービス: クライアント・セキュリティー・バインディング」をクリックします。 「Request generator (sender) binding」の下で、「Edit custom」>「Collection certificate store」の順にクリックします。
    • 要求コンシューマーの場合、「Web services: Server security bindings」をクリックします。 「Request consumer (receiver) binding」の下で、「Edit custom」>「Collection certificate store」の順にクリックします。
    • 応答生成プログラムの場合、「Web services: Server security bindings」をクリックします。 「Response generator (sender) binding」の下で「Edit custom」>「Collection certificate store」の順にクリックします。
    • 応答コンシューマーの場合、「Web サービス: クライアント・セキュリティー・バインディング」をクリックします。 「Response consumer (receiver) binding」の下で「Edit custom」>「Collection certificate store」の順にクリックします。
  4. 構成済みのコレクション証明書ストアの名前をクリックするか、最初に新規のコレクション証明書ストアを 作成します。
  5. 「追加プロパティー」の下で、「Certificate revocation lists」>「新規」の順にクリックして 新規リストへのパスを指定するか、証明書失効リストの名前をクリックして、パスを変更します。
関連資料
証明書失効リスト・コレクション証明書失効リストのパス
コレクション証明書ストア・コレクションCertificate store name
コレクション証明書ストアの構成設定Certificate store name

証明書失効リストのパス

無効な証明書のリストを検索できるロケーションへの完全修飾パスを指定します。

ポータビリティーの観点から、証明書失効リストへ相対パスを指定する場合は、WebSphere Application Server 変数を使用することをお勧めします。この推奨事項は、WebSphere Application Server Network Deployment 環境で作業を行っているときに特に重要です。例えば、USER_INSTALL_ROOT 変数を使用して、 $USER_INSTALL_ROOT/mycertstore/mycrl (ここで、mycertstore は 証明書ストアの名前、mycrl は証明書失効リストを表します) などのパスを定義する場合があります。 サポートされる変数のリストについては、管理コンソールで「環境」 >「WebSphere 変数」 の順にクリックします。

以下のリストに、CRL の使用に関する推奨事項を示します。
  • CRL がコレクション証明書ストア・コレクションに追加される場合、 適用できる場合には、ルート証明書権限および各中間証明書の CRL を追加します。 CRL が証明書コレクション・ストア内にある場合、発行者の CRL に対して、チェーン内の すべての証明書の失効状況が確認されます。
  • CRL ファイルが更新されると、Web サービス・アプリケーションを再始動するまで、新規 CRL は有効になりません。
  • CRL の期限が切れる前に、新規 CRL を証明書コレクション・ストアにロードして、 古い CRL と置き換える必要があります。コレクション証明書ストア内の CRL の有効期限が切れると、証明書パス (CertPath) のビルドが失敗します。

フィードバック