1.4.3. Elytron で CRL を使用した証明書失効リストの設定

Elytron で証明書失効に証明書失効リスト (CRL) を使用するように、双方向 SSL/TLS の有効化に使用されるトラストマネージャーを設定します。

前提条件

  • トラストマネージャーは双方向 SSL/TLS を使用するよう設定されます。
  • トラストマネージャーには、失効するためにチェックされる証明書チェーンが含まれます。

手順

  1. トラストマネージャーが、証明書で参照されるディストリビューションポイントから取得した CRL を使用するように設定します。

    /subsystem=elytron/trust-manager=twoWayTM:write-attribute(name=certificate-revocation-list,value={})
  2. 証明書で参照されているディストリビューションポイントから取得した CRL を上書きします。

    /subsystem=elytron/trust-manager=twoWayTM:write-attribute(name=certificate-revocation-list.path, value=intermediate.crl.pem)
  3. 証明書失効に CRL を使用するように trust-manager を設定します。

    • OCSP レスポンダーが証明書失効リストに対しても設定されている場合、証明書失効に CRL を使用するようトラストマネージャーに、値が trueocsp.prefer- CRL 属性も追加します。

      /subsystem=elytron/trust-manager=twoWayTM:write-attribute(name=ocsp.prefer-crls,value="true")
    • OCSP レスポンダーが証明書失効リストに対して設定されていない場合、設定は完了します。

追加情報