Konfigurationseinstellungen für Zertifikatswiderrufslisten

Verwenden Sie diese Seite, um eine Liste mit Zertifikatswiderrufen zu erstellen, die die Gültigkeit eines Zertifikats überprüfen. Der Anwendungsserver überprüft die Zertifikatswiderrufslisten (CRL, Certification Revocation Lists), um die Gültigkeit des Clientzertifikats zu bestimmen. Ein in einer Zertifikatswiderrufsliste aufgeführtes Zertifikat ist möglicherweise nicht verfallen, wird aber von der Zertifizierungsstelle (CA, Certificate Authority), die das Zertifikat ausgestellt hat, nicht mehr anerkannt. Die CA kann das Zertifikat der Zertifikatswiderrufliste hinzufügen, wenn sie der Meinung ist, dass die Clientberechtigung ein Risiko darstellt.

Führen Sie die folgenden Schritte aus, um die Administrationskonsolanzeige für den Zertifikatssammelspeicher auf Zellenebene aufzurufen:
  1. Klicken Sie auf Sicherheit > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
  2. Klicken Sie unter "Weitere Eigenschaften" auf Zertifikatssammelspeicher.
  3. Klicken Sie auf den Namen eines konfigurierten Zertifikatssammelspeichers, oder erstellen Sie zuerst einen neuen Zertifikatssammelspeicher.
  4. Klicken Sie unter "Weitere Eigenschaften" auf Zertifikatswiderruflisten > Neu, um den Pfad einer neuen Liste anzugeben, oder klicken Sie auf den Namen einer Zertifikatswiderrufliste, um den Pfad zu ändern.
Führen Sie die folgenden Schritte aus, um die Administrationskonsolanzeige für den Zertifikatssammelspeicher auf Serverebene aufzurufen:
  1. Klicken Sie auf Server>Servertypen>WebSphere-Anwendungsserver> Servername.
  2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
    Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web-Service-Sicherheit.mixv
  3. Klicken Sie unter "Weitere Eigenschaften" auf Zertifikatssammelspeicher.
  4. Klicken Sie auf den Namen eines konfigurierten Zertifikatssammelspeichers, oder erstellen Sie zuerst einen neuen Zertifikatssammelspeicher.
  5. Klicken Sie unter "Weitere Eigenschaften" auf Zertifikatswiderruflisten > Neu, um den Pfad einer neuen Liste anzugeben, oder klicken Sie auf den Namen einer Zertifikatswiderrufliste, um den Pfad zu ändern.
Führen Sie die folgenden Schritte aus, um die Administrationskonsolanzeige für den Zertifikatssammelspeicher auf Anwendungsebene aufzurufen:
  1. Klicken Sie auf Anwendungen>Anwendungstypen>WebSphere-UnternehmensanwendungenAnwendungsname.
  2. Klicken Sie unter "Module" auf Module verwalten > URI-Name.
  3. Unter "Eigenschaften der Web-Service-Sicherheit" können Sie auf die Zertifikatssammelspeicher für die folgenden Bindungen zugreifen:
    • Klicken Sie für den Anforderungsgenerator auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anforderungsgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten > Zertifikatssammelspeicher.
    • Klicken Sie für den Anforderungskonsumenten auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anforderungskonsumentenbindung (Empfänger)" auf Angepasste Bindungen bearbeiten > Zertifikatssammelspeicher.
    • Klicken Sie für den Antwortgenerator auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Antwortgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten > Zertifikatssammelspeicher.
    • Klicken Sie für den Antwortkonsumenten auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Antwortkonsumentenbindung (Empfänger)" auf Angepasste Bindungen bearbeiten > Zertifikatssammelspeicher.
  4. Klicken Sie auf den Namen eines konfigurierten Zertifikatssammelspeichers, oder erstellen Sie zuerst einen neuen Zertifikatssammelspeicher.
  5. Klicken Sie unter "Weitere Eigenschaften" auf Zertifikatswiderruflisten > Neu, um den Pfad einer neuen Liste anzugeben, oder klicken Sie auf den Namen einer Zertifikatswiderrufliste, um den Pfad zu ändern.
Pfad der Zertifikatswiderrufsliste [nur Version 6]

Gibt einen vollständig qualifizierten Pfad zu dem Verzeichnis an, in dem Sie die Liste der ungültigen Zertifikate finden.

Zur besseren Portierbarkeit wird empfohlen, die Anwendungsservervariablen zu verwenden, um den relativen Pfad der Zertifikatswiderrufsliste anzugeben. Sie sollten dieser Empfehlung unbedingt folgen, wenn Sie in einer Umgebung mit WebSphere Application Server Network Deployment arbeiten. Sie können mit der Variablen USER_INSTALL_ROOT beispielsweise einen Pfad wie $USER_INSTALL_ROOT/meincertstore/meinecrl definieren, wobei meincertstore für den Namen des Zertifikatsspeichers und meinecrl für die Zertifikatswiderrufsliste steht. Zum Anzeigen einer Liste unterstützter Variablen klicken Sie in der Administrationskonsole auf Umgebung > WebSphere-Variablen.

Nachfolgend sind Empfehlungen für die Verwendung von CRLs aufgelistet:
  • Wenn Sie den Zertifikatssammelspeichern CRLs hinzufügen möchten, fügen Sie die CRLs für die Stamm-CA und ggf. jedes temporäre Zertifikat hinzu. Ist die CRL im Zertifikatssammelspeicher enthalten, wird der Widerrufstatus jedes Zertifikats in der Kette mit der CRL des Ausstellers verglichen.
  • Wenn die CRL-Datei aktualisiert wird, tritt die neue CRL erst nach einem Neustart der Web-Service-Anwendung in Kraft.
  • Vor dem Verfallsdatum einer CRL müssen Sie als Ersatz eine neue CRL in den Zertifikatssammelspeicher laden. Eine verfallende CRL im Zertifikatssammelspeicher führt zu einem Fehler beim Erstellen des Zertifikatspfads (CertPath).



Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Tasks
Zugehörige Verweise
Zertifikatswiderrufslisten
Zertifikatssammelspeicher
Konfigurationseinstellungen für Zertifikatssammelspeicher


Dateiname: uwbs_certrevlistn.html