証明書失効リスト構成の設定

このページを使用して、証明書の妥当性を検査する証明書失効リストを指定します。 アプリケーション・サーバーは、証明書失効リスト (CRL) を検査して、クライアント証明書の妥当性を判別します。 証明書失効リストある証明書は、有効期限は切れていない可能性がありますが、既にその証明書を発行した認証局 (CA) に信頼されていません。 CA は、クライアント権限が危ういと見なした場合、この証明書を証明書失効リストに追加する可能性があります。

セル・レベルのコレクション証明書ストアについて管理コンソール・パネルを表示するには、 以下のステップを実行します。
  1. 「セキュリティー」>「JAX-WS および JAX-RPC セキュリティー・ランタイム (JAX-WS and JAX-RPC security runtime)」とクリックします。
  2. 「追加プロパティー」の下の「コレクション証明書ストア」をクリックします。
  3. 最初に、構成済みコレクション証明書ストアの名前をクリックするか、新規コレクション証明書ストアを作成します。
  4. 「追加プロパティー」において、 「証明書取り消しリスト」>「新規」と クリックして、新規リストへのパスを指定するか、 証明書取り消しリストの名前をクリックして、 そのパスを変更します。
サーバー・レベルのコレクション証明書ストアについて管理コンソール・パネルを表示するには、以下のステップを実行します。
  1. 「サーバー」>「サーバー・タイプ (Server Types)」>「WebSphere アプリケーション・サーバー (WebSphere application servers)」>「server_name」をクリックします。
  2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム (JAX-WS and JAX-RPC security runtime)」をクリックします。
    混合バージョン環境: Websphere Application Server バージョン 6.1 以前を使用しているサーバーの混合ノード・セルでは、「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。mixv
  3. 「追加プロパティー」の下の「コレクション証明書ストア」をクリックします。
  4. 最初に、構成済みコレクション証明書ストアの名前をクリックするか、新規コレクション証明書ストアを作成します。
  5. 「追加プロパティー」において、 「証明書取り消しリスト」>「新規」と クリックして、新規リストへのパスを指定するか、 証明書取り消しリストの名前をクリックして、 そのパスを変更します。
アプリケーション・レベルのコレクション証明書ストアを参照するためにこの管理コンソール・ページを表示するには、以下のステップを実行します。
  1. 「アプリケーション」>「アプリケーション・タイプ (Application Types)」>「WebSphere エンタープライズ・アプリケーション (WebSphere enterprise applications)」「application_name」とクリックします。
  2. 「モジュール」で、「モジュールの管理」>「URI_name」をクリックします。
  3. 「Web サービス・セキュリティー・プロパティー」の下で、 以下のバインディングのコレクション証明書ストアにアクセスすることができます。
    • 要求ジェネレーターについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。 「要求ジェネレーター (送信側) バインディング」で、「カスタムの編集」>「コレクション証明書ストア」をクリックします。
    • 要求コンシューマーについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「要求コンシューマー (受信側) バインディング」で、「カスタムの編集」>「コレクション証明書ストア」をクリックします。
    • 応答ジェネレーターについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「応答ジェネレーター (送信側) バインディング」で、「カスタムの編集」>「コレクション証明書ストア」をクリックします。
    • 応答コンシューマーについては、「Web サービス: クライアント・セキュリティー・バインディング」をクリックします。 「応答コンシューマー (受信側) バインディング」で、「カスタムの編集」>「コレクション証明書ストア」をクリックします。
  4. 最初に、構成済みコレクション証明書ストアの名前をクリックするか、新規コレクション証明書ストアを作成します。
  5. 「追加プロパティー」において、 「証明書取り消しリスト」>「新規」と クリックして、新規リストへのパスを指定するか、 証明書取り消しリストの名前をクリックして、 そのパスを変更します。
証明書失効リストのパス [Version 6 only]

無効な証明書のリストを検索できるロケーションへの完全修飾パスを指定します。

移植性という理由から、証明書失効リストへの相対パスを指定する場合は、 アプリケーション・サーバーの変数を使用することをお勧めします。 WebSphere® Application Server Network Deployment 環境で作業をしている場合、この推奨事項は特に重要です。 例えば、USER_INSTALL_ROOT 変数を使用して、 $USER_INSTALL_ROOT/mycertstore/mycrl などのパスを定義する場合があります。ここで、mycertstore は、 証明書ストアの名前を表し、mycrl は証明書失効リストを表します。 サポートされている変数のリストについては、 管理コンソールで「環境」>「WebSphere 変数」 とクリックしてください。

以下のリストに、CRL の使用に関する推奨事項を示します。
  • CRL がコレクション証明書ストア・コレクションに追加される場合、 適用できる場合は、ルート証明書権限および各中間証明書の CRL を追加します。 CRL が証明書コレクション・ストアにある場合、チェーン内のすべての証明書に対する証明書失効の状況が 発行者の CRL に対して検査されます。
  • CRL ファイルが更新される場合、Web サービス・アプリケーションを再始動するまで、新規 CRL は有効になりません。
  • CRL の有効期限が切れる前に、新規 CRL を証明書コレクション・ストアにロードして、古い CRL を置き換える必要があります。 コレクション証明書ストア内の CRL は有効期限が切れると、証明書パス (CertPath) の作成が失敗します。



マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連タスク
関連資料
証明書取り消しリスト・コレクション
コレクション証明書ストアのコレクション
コレクション証明書ストア構成の設定


ファイル名: uwbs_certrevlistn.html