Paramètres de configuration de la liste de retrait de certificat

Utilisez cette page pour indiquer une liste des retraits de certificats permettant de vérifier la validité d'un certificat. Le serveur d'applications consulte la liste de retrait de certificat (CRL) pour déterminer la validité du certificat client. Un certificat qui se trouve dans la liste de retrait de certificat n'a pas forcément expiré mais n'est plus jugé digne de confiance par l'autorité de certification (CA) qui l'a émis. Cette dernière peut ajouter le certificat à la liste CRL si elle estime que l'autorité du client est compromise.

Pour afficher le panneau de la console d'administration relatif au magasin de certificats de collection au niveau de la cellule, procédez aux opérations ci-dessous.
  1. Cliquez sur Sécurité > Exécution de la sécurité JAX-WS et JAX-RPC.
  2. Dans la section Propriétés supplémentaires, cliquez sur Magasin de certificats de collection.
  3. Cliquez sur le nom d'un magasin de certificats de collection déjà configuré ou créez-en un.
  4. Dans la section Propriétés supplémentaires, cliquez sur Listes de retrait de certificats > Nouveau pour indiquer le chemin d'accès à une nouvelle liste ou cliquez sur le nom d'une liste de retrait de certificat pour modifier son chemin.
Pour afficher le panneau de la console d'administration relatif au magasin de certificats de collection pour un serveur particulier, procédez aux opérations ci-dessous.
  1. Cliquez sur Serveurs > Types de serveurq > Serveurs d'applications WebSphere > nom_serveur.
  2. Sous Sécurité, cliquez sur Module d'exécution de la sécurité JAX-WS et JAX-RPC.
    Environnement de version mixte : Dans une cellule de noeud mixte avec un serveur utilisant WebSphere Application Server version 6.1 ou une version précédente, cliquez sur Liaisons par défaut pour la sécurité des services Web.mixv
  3. Dans la section Propriétés supplémentaires, cliquez sur Magasin de certificats de collection.
  4. Cliquez sur le nom d'un magasin de certificats de collection déjà configuré ou créez-en un.
  5. Dans la section Propriétés supplémentaires, cliquez sur Listes de retrait de certificats > Nouveau pour indiquer le chemin d'accès à une nouvelle liste ou cliquez sur le nom d'une liste de retrait de certificat pour modifier son chemin.
Pour afficher le panneau de la console d'administration relatif au magasin de certificats de collection pour une application particulière, procédez comme suit :
  1. Cliquez sur Applications > Types d'applications > Applications d'entreprise WebSpherenom_application.
  2. Sous Modules, cliquez sur Gestion des modules > nom_URI.
  3. Sous Propriétés de la sécurité des services Web, vous pouvez accéder aux magasins de certificats de collection pour les liaisons suivantes :
    • Pour le générateur de demande, cliquez sur Services Web : Liaisons de sécurité du client. Sous Liaison du générateur de demande (émetteur), cliquez sur Editer les valeurs personnalisées > Magasin de certificats de collection.
    • Pour le consommateur de demande, cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du destinataire de la demande (récepteur), cliquez sur Editer les valeurs personnalisées > Magasin de certificats de collection.
    • Pour le générateur de réponse, cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du générateur de réponse (émetteur), cliquez sur Editer les valeurs personnalisées > Magasin de certificats de collection.
    • Pour le consommateur de réponse, cliquez sur Services Web : Liaisons de sécurité du client. Sous Liaison du destinataire de la réponse (récepteur), cliquez sur Editer les valeurs personnalisées > Magasin de certificats de collection.
  4. Cliquez sur le nom d'un magasin de certificats de collection déjà configuré ou créez-en un.
  5. Dans la section Propriétés supplémentaires, cliquez sur Listes de retrait de certificats > Nouveau pour indiquer le chemin d'accès à une nouvelle liste ou cliquez sur le nom d'une liste de retrait de certificat pour modifier son chemin.
Chemin d'accès à la liste de retrait de certificats [Version 6 only]

Indique le chemin d'accès complet à la liste des certificats non valides.

Pour des raisons de portabilité, il est recommandé d'utiliser les variables du serveur d'applications pour spécifier un chemin d'accès relatif à la liste de retrait de certificats. Cette recommandation est particulièrement importante lorsque vous travaillez dans un environnement WebSphere Application Server Network Deployment. Par exemple, vous pouvez utiliser la variable USER_INSTALL_ROOT pour définir un chemin, tel que $USER_INSTALL_ROOT/magasincert/crlmagasincert correspond au nom du magasin de certificats et crl correspond à la liste de retrait de certificat. Pour obtenir une liste des variables prises en charge, cliquez sur Environnement > Variables WebSphere dans la console d'administration.

Voici une liste de recommandations concernant l'utilisation de listes de retrait de certificats (CRL) :
  • Si des CRL sont ajoutées pour la collection de magasins de certificats de collection, ajoutez-les pour l'autorité de certification racine et, le cas échéant, pour chaque certificat intermédiaire. Lorsque la CRL est dans le magasin de collections de certificats, l'état de révocation (ou retrait) de chaque certificat de la chaîne est vérifié par rapport à la CRL de l'émetteur.
  • Lors de la mise à jour du fichier CRL, le nouveau fichier CRL n'entre en vigueur qu'après avoir redémarré l'application du service Web.
  • Avant l'expiration d'une CRL, vous devez en charger une nouvelle dans le magasin de collections de certificats afin de remplacer l'ancienne CRL. La présence, dans le magasin de collections de certificats, d'une CRL ayant expiré se traduit par un échec de génération du chemin de certificat (CertPath).



Les liens marqués (en ligne) requièrent un accès à Internet.

Tâches associées
Référence associée
Collection de liste de retrait de certificats
Collection de magasins de certificats de collection
Paramètres de configuration du magasin de certificats de collection


Nom du fichier : uwbs_certrevlistn.html