証明書失効リスト(CRL)は、証明書を発行した認証局(CA)によって取り消されたデジタル証明書のタイムスタンプ付リストです。各CRLはCAによって署名され、パブリック・リポジトリで自由に使用可能になっています。
WebLogicドメインで証明書失効チェックを構成している場合は、次のCRL設定をカスタマイズできます。
- CRLローカル・キャッシュの更新に使用されるCRL配布ポイントからの更新を有効にするかどうか。
- CRLキャッシュ・リフレッシュ設定。リフレッシュ設定はCRLの有効期間のパーセントとして示されており、このパーセントに達すると、配布ポイントから強制的にリフレッシュされます。たとえば、有効期間が10時間の場合に、10%という値を指定すると、キャッシュされたCRLが1時間後に失効して新しいCRLが必要になります。CRLが次に必要になるとリフレッシュが実行されます。
- 配布ポイントからのCRLダウンロードの待機時間を制限するタイムアウト設定。タイムアウトの設定は、ブロックされたスレッドを最小限に抑えるのに役立ち、サービス拒否攻撃に対するシステムの脆弱性も低減します。
WebLogic ServerでCRL構成をカスタマイズするには: