このセクションでは、証明書失効リスト (CRL) のディレクティブおよびグローバル・サーバーと仮想ホストでサポートされているディレクティブの識別に関する情報を提供します。
証明書の失効には、キー漏えいが発生したか、キーへのアクセス権が取り消された場合に、ブラウザーにより IBM® HTTP Server に対して与えられたクライアント証明書を取り消す機能が備えられています。
CRL は、予定された有効期限前に取り消された証明書のリストを含むデータベースを表します。
IBM HTTP Server の証明書の失効を使用可能にする場合は、Lightweight Directory Access Protocol (LDAP) サーバーで
CRL を発行します。LDAP サーバーで CRL を発行すると、IBM HTTP
Server 構成ファイルを使用して CRL にアクセスすることができます。CRL は、要求されたクライアント証明書のアクセス権状況を決定します。ただし、失効データが存在するバックエンド・サーバーが
利用できない、または IBM HTTP Server と適切に通信していない場合は、クライアント証明書の
失効状況を常に決定できるわけではないことに
注意してください。
証明書失効リストをセットアップするのに必要なディレクティブの識別。SSLClientAuth ディレクティブは一度に 2 つのオプションを含むことができます。
- SSLClientAuth 2 crl
- SSLClientAuth 1 crl
CRL オプションは、SSL 仮想ホスト内で CRL をオン/オフにします。 CRL をオプションとして指定する場合、CRL をオンにします。CRL をオプションとして指定しない場合、CRL はオフのままです。SSLClientAuth の最初のオプションが 0/なしの場合、2 番目のオプション CRL を使用することはできません。クライアント認証をオンにしない場合、CRL 処理は行われません。
グローバルまたはサーバーおよび仮想ホストでサポートされているディレクティブの識別。グローバル・サーバーおよび仮想ホストは以下のディレクティブをサポートしています。
- SSLCRLHostname: CRL データベースが常駐する LDAP サーバーの IP アドレスおよびホスト現在、
静的 CRL リポジトリーは、CRLDistributionPoint フィールドで他の URI フォームのチェック
が有効になるように構成する必要があります。
明示的に構成された LDAP サーバー
のみで CRL の照会を行うことができます。また、バックエンド・サーバーと接続できない場合、
SSL ハンドシェークを行うことはできません。
- SSLCRLPort: CRL データベースが常駐する LDAP サーバーのポート。デフォルトは 389 です。
- SSLCRLUserID: CRL データベースが常駐する LDAP サーバーへ送信するユーザー ID。バインドを指定しない場合、デフォルトで匿名になります。
- SSLStashfile: LDAP サーバーのユーザー名のパスワードがあるファイルへの完全修飾パス。このディレクティブは、匿名バインドには必要ありません。
ユーザー ID を指定するときに使用します。
IBM HTTP Server の bin ディレクトリーに配置されている sslstash コマンドを使用して CRL パスワード・スタッシュ・ファイルを作成します。sslstash コマンドを使用して指定するパスワードは、LDAP サーバーにログインするために使用するパスワードと同じです。
使用法:
sslstash [-c] <directory_to_password_file_and_file_name> <function_name> <password>
各部の意味は、次のとおりです。
- -c: 新規 stash ファイルを作成します。指定しない場合、既存のファイルが更新されます。
- File: 作成または更新するファイルの完全修飾名を表します。
- Function: パスワードを使用する関数を示します。
有効な値には、crl または crypto があります。
- Password: stash へのパスワードを表します。
SSLUnknownRevocationStatus:
新しい証明書失効リスト (CRL) の情報または OCSP (オンライン証明書状態プロトコル) の
情報を取得できず、現在提供されているクライアント証明書が前回の
照会から取り消されているか不明な場合に IBM HTTP Server が
どのように対応するかを、このディレクティブで設定することができ
ます。証明書は、デフォルトでは失効と見なされず、有効となります。
また、CRL または OCSP 情報の取得に一時的に失敗しても、自動的に SSL ハンドシェーク
の失敗という結果にはなりません。
このディレクティブは、IBM HTTP Server が失効状況の確認を確実に行うことができない状態で
証明書が受け入れられた場合に対応するために提供されて
います。このディレクティブは、以下のすべての条件に
該当する場合にのみ有効です。
詳細については、SSL ディレクティブのトピックを参照してください。
CRL 検査は、クライアント証明書の URIDistributionPoint X509 機能拡張に従います。
また、クライアント証明書の発行者によって構成された DN を試行します。証明書に CRL Distribution Point (CDP) が含まれる場合は、その情報が優先されます。
情報が使用される順序は以下のとおりです。
- CDP LDAP X.500 の名前
- CDP LDAP URI
- SSLCRLHostname ディレクティブの値が結合された発行者の名前
トラブルの回避: 証明書
で CertificateDistributionPoint または AIA 拡張に LDAP または HTTP URI フォーム
を使用している場合、IBM HTTP Server システムがこの種類の外部への接続を確実に確立
できるようにしてください。ファイアウォールの設定を調整する
必要がある場合があります。
gotcha