憑證廢止清冊配置設定

請利用這個頁面來指定一份憑證廢止清單,檢查憑證的有效性。應用程式伺服器會檢查憑證廢止清冊 (CRL),來判斷用戶端憑證的有效性。憑證廢止清冊中的憑證也許尚未過期,但已經不再受到發出該憑證之憑證管理中心 (CA) 的信任了。 如果 CA 認為用戶端權限已受損,就會將憑證加入憑證廢止清冊中。

如果要檢視 Cell 層次的這個管理主控台畫面,在其中尋找集合憑證儲存庫,請完成下列步驟:
  1. 按一下安全 > JAX-WS 和 JAX-RPC 安全執行時期
  2. 在「其他內容」下,按一下集合憑證儲存庫
  3. 按一下所配置的集合憑證儲存庫的名稱,或者先建立新的集合憑證儲存庫。
  4. 在「其他內容」下,按一下憑證撤銷清冊 > 新建來指定通往新清單的路徑,或按一下憑證撤銷清冊的名稱來修改它的路徑。
如果要檢視管理主控台畫面中有關伺服器層次的集合憑證儲存庫資訊,請完成下列步驟:
  1. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器 > server_name
  2. 在「安全」下,按一下 JAX-WS 和 JAX-RPC 安全執行時期
    混合版本環境: 在有伺服器使用 Websphere Application Server 6.1 版或更早版本的混合節點 Cell 中,按一下 Web 服務:Web 服務安全的預設連結mixv
  3. 在「其他內容」下,按一下集合憑證儲存庫
  4. 按一下所配置的集合憑證儲存庫的名稱,或者先建立新的集合憑證儲存庫。
  5. 在「其他內容」下,按一下憑證撤銷清冊 > 新建來指定通往新清單的路徑,或按一下憑證撤銷清冊的名稱來修改它的路徑。
如果要檢視應用程式層次的這個管理主控台頁面,在其中尋找集合憑證儲存庫,請完成下列步驟:
  1. 按一下應用程式 > 應用程式類型 > WebSphere 企業應用程式application_name
  2. 在「模組」下,按一下管理模組 > URI_name
  3. 在「Web 服務安全內容」下,您可以存取下列連結的集合憑證儲存庫:
    • 如果是要求產生者,請按一下 Web 服務:用戶端安全連結。 在「要求產生者(傳送端)連結」下,按一下編輯自訂 > 集合憑證儲存庫
    • 如果是要求消費者,請按一下 Web 服務:伺服器安全連結。 在「要求消費者(接收端)連結」下,按一下編輯自訂 > 集合憑證儲存庫
    • 如果是回應產生者,請按一下 Web 服務:伺服器安全連結。 在「回應產生者(傳送端)連結」下,按一下編輯自訂 > 集合憑證儲存庫
    • 如果是回應消費者,請按一下 Web 服務:用戶端安全連結。 在「回應消費者(接收端)連結」下,按一下編輯自訂 > 集合憑證儲存庫
  4. 按一下所配置的集合憑證儲存庫的名稱,或者先建立新的集合憑證儲存庫。
  5. 在「其他內容」下,按一下憑證撤銷清冊 > 新建來指定通往新清單的路徑,或按一下憑證撤銷清冊的名稱來修改它的路徑。
憑證廢止清冊路徑 [Version 6 only]

指定可以在其中找到無效憑證清單之位置的完整路徑。

為了顧全可攜性,建議您利用應用程式伺服器變數來指定通往憑證廢止清冊的相對路徑。 如果您是在 WebSphere® Application Server Network Deployment 環境下工作,這項建議尤其重要。例如,您可能會使用 USER_INSTALL_ROOT 變數來定義路徑,例如 $USER_INSTALL_ROOT/mycertstore/mycrl,其中 mycertstore 是指憑證儲存庫的名稱,而 mycrl 是指憑證廢止清冊。 如果您想知道支援的變數清單,請在管理主控台中,按一下環境 > WebSphere 變數

下面這份清單將列出使用 CRL 的幾項建議:
  • 如果您把 CRL 新增至集合憑證儲存庫集合中,請加入主要憑證權限和每一個中間憑證的 CRL(如果適用的話)。如果 CRL 是在憑證集合儲存庫中,則會針對發證者的 CRL,檢查鏈中每一個憑證的憑證撤銷狀態。
  • 如果 CRL 檔已經更新,新的 CRL 要等到您重新啟動 Web 服務應用程式之後才會生效。
  • 在 CRL 到期之前,您必須將新的 CRL 載入到憑證集合儲存庫中,取代舊的 CRL。 集合憑證儲存庫中的過期 CRL 會導致憑證路徑 (CertPath) 建置失敗。



標示(線上)的鏈結表示需要存取網際網路。

相關工作
相關參考
憑證廢止清冊集合
集合憑證儲存庫集合
集合憑證儲存庫配置設定


檔名: uwbs_certrevlistn.html