Esta seção fornece informações sobre a identificação de diretivas para
a CRL (Certificate Revocation List) e as suportadas nos servidores globais e
hosts virtuais.
A revogação de certificado fornece a capacidade de revogar um certificado
de cliente fornecido para o IBM® HTTP Server pelo navegador quando
a chave se torna comprometida ou quando a permissão de acesso à chave é
revogada. O CRL representa um banco de dados
que contém uma lista de certificados revogados antes da data de expiração planejada.
Se desejar ativar a revogação de certificado no IBM HTTP
Server, publique a CRL em um servidor Lightweight Directory Access Protocol
(LDAP). Quando a CRL for publicada em um servidor LDAP, será possível
acessá-la usando o arquivo de configuração do IBM HTTP Server.
A CRL determina o status da permissão de
acesso do certificado de cliente solicitado. Esteja ciente, no entanto, que não é sempre possível determinar
o status de revogação de um certificado de cliente se o servidor backend,
a origem de dados de revogação, não está disponível ou não está se comunicando
corretamente com o IBM HTTP Server.
A identificação de diretivas precisou configurar uma Certificate Revocation List. A diretiva SSLClientAuth pode incluir duas opções por vez:
- SSLClientAuth 2 crl
- SSLClientAuth 1 crl
A opção CRL liga e desliga a CRL em um host virtual SSL.
Se você
especificar a CRL como uma opção, escolha ligar a CRL. Se você não especificar a CRL
como uma opção, a CRL permanecerá desligada. Se a primeira opção para SSLClientAuth for igual a 0/nenhum, não será possível utilizar a segunda opção, CRL. Se a autenticação de clientes não estiver ativada, então o processamento da CRL não ocorrerá.
Identificando diretivas suportadas no servidor global e host virtual. O servidor global e o host virtual suportam a seguintes diretivas:
- SSLCRLHostname: O Endereço IP e o host do servidor LDAP, no qual o
banco de dados CRL reside. Atualmente, você deve configurar quaisquer repositórios de
CRL estáticos para permitir a verificação de outras formas de URI nos campos
CRLDistributionPoint.
Apenas um servidor LDAP configurado explicitamente
pode ser consultado para CRL e o handshake de SSL falha se o servidor backend
não está acessível.
- SSLCRLPort: A porta do servidor LDAP no qual o banco de dados CRL reside;
o padrão é igual a 389.
- SSLCRLUserID: O ID do usuário para enviar ao servidor LDAP no qual reside
o banco de dados da CRL - padronizado para anônimo se a ligação não for
especificada.
- SSLStashfile: O caminho completo para arquivo no qual reside
a senha para o nome do usuário no servidor LDAP. Essa diretriz não é requerida para uma ligação anônima. Utilize-a quando especificar um ID do usuário.
Use o comando sslstash, localizado no diretório bin do IBM HTTP
Server, para criar seu arquivo stash de senha de CRL. A senha que você especifica utilizando o comando sslstash
deve ser a mesma que você utiliza para efetuar login com seu
servidor LDAP.
Uso:
sslstash [-c] <directory_to_password_file_and_file_name> <function_name> <password>
em que:
- -c: Cria um novo arquivo stash. Se não especificado, um arquivo existente é atualizado.
- Arquivo: Representa o nome completo do arquivo a criar ou
atualizar.
- Função: Indica a função para a qual deve ser utilizada a senha.
Os valores válidos incluem crl ou crypto.
- Senha: Representa a senha a utilizar com stash.
SSLUnknownRevocationStatus: Esta diretiva permite
configurar como o IBM HTTP Server responderá quando informações atuais
da Lista de Revogação de Certificado (CRL) ou informações do OCSP (Online
Certificate Status Protocol) não estiverem disponíveis e o certificado de cliente
que é oferecido atualmente não for conhecido como estando revogado a partir de uma
consulta anterior. Os certificados são presumidos como não estando revogados, por padrão, o que
significa que eles são válidos e uma falha temporária para obter informações de
CRL ou OCSP não resulta automaticamente em uma falha de handshake de SSL.
Esta diretiva é fornecida para responder às circunstâncias nas quais um
certificado foi aceito sem o IBM HTTP Server estar apto a
confirmar de forma confiável o status da revogação. Esta diretiva possui um efeito
apenas quando todas estas condições são verdadeiras:
- O IBM HTTP Server foi configurado para aceitar certificados de cliente com
a diretiva SSLClientAuth.
- O IBM HTTP Server foi configurado com uma das diretivas a seguir:
SSLOCSPEnable, SSLOCSPUrl ou SSLCRLHostname.
- Um certificado de cliente SSL foi fornecido.
- O IBM HTTP Server não recebe uma resposta de OCSP ou CRL válida
do servidor backend configurado e o certificado de cliente
não aparece como revogado em uma resposta de CRL em cache, mas não expirada.
O IBM
HTTP Server usa uma CRL em cache que está além de seu prazo de expiração
publicado quando uma versão atual não está disponível. Quando um certificado
tiver sido revogado tal como uma CRL expirada, isto resultará em uma falha de
handshake de SSL direta que está fora do escopo da diretiva
SSLUnknownRevocationStatus.
Consulte o tópico Diretivas SSL para obter mais informações.
A verificação da CRL segue a extensão URIDistributionPoint X509 no certificado cliente e
também a tentativa de DN construído a partir do emissor do certificado cliente. Se o
certificado contiver um CDP (CRL Distribution Point), essa informação terá a precedência
determinada.
A ordem em que a informação é utilizada é
a seguinte:
- CDP LDAP X.500 nome
- CDP LDAP URI
- O nome do emissor combinado com o valor da diretiva SSLCRLHostname
Evitar Problemas: Se seus certificados usarem
os formatos de URI LDAP ou HTTP das extensões CertificateDistributionPoint
ou AIA, certifique-se de que o sistema IBM HTTP Server possa estabelecer
conexões de saída deste tipo; pode ser necessário ajustar as configurações
para seu firewall.
gotcha