[AIX Solaris HP-UX Linux Windows][z/OS]

Lista de revocación de certificados SSL

En este apartado se proporciona información sobre la identificación de directivas de la lista de revocación de certificados (CRL) y aquellas que están soportadas en servidores globales y hosts virtuales.

La revocación de certificados ofrece la posibilidad de revocar un certificado de cliente que el navegador proporciona a IBM® HTTP Server cuando se compromete la clave o cuando se revoca el permiso de acceso a la clave. CRL representa una base de datos que contiene una lista de certificados revocados antes de su fecha de caducidad planificada.

Si desea habilitar la revocación de certificados en IBM HTTP Server, publique la CRL en un servidor LDAP (Lightweight Directory Access Protocol). Una vez publicada la CRL en un servidor LDAP, puede acceder a la CRL utilizando el archivo de configuración de IBM HTTP Server. La CRL determina el estado de permiso de acceso del certificado de cliente solicitado. Tenga en cuenta, sin embargo, que no siempre es posible determinar el estado de revocación de un certificado de cliente si el servidor de fondo, el origen de datos de revocación, no está disponible o no se comunica correctamente con IBM HTTP Server.

Identificación de las directivas necesarias para configurar una lista de revocación de certificados. La directiva SSLClientAuth puede incluir dos opciones a la vez:

La opción CRL activa y desactiva la CRL dentro de un host virtual SSL. Si especifica CRL como una opción, se activa la CRL. Si no especifica CRL como una opción, la CRL permanece desactivada. Si la primera opción de SSLClientAuth es igual a 0/none, no puede utilizar la segunda opción, CRL. Si no tiene activada la autenticación de cliente, el proceso de CRL no se realiza.

Identificación de las directivas soportadas en el host virtual y el servidor global. El host virtual y el servidor global dan soporte a las siguientes directivas:
La comprobación de CRL sigue a la extensión X509 de URIDistributionPoint en el certificado de cliente así como la prueba del DN creado desde el emisor del certificado de cliente. Si el certificado contiene un CDP (Punto de distribución de CRL), se da prioridad a esa información. El orden en el que se utiliza la información es la siguiente:
  1. Nombre LDAP X.500 de CDP
  2. URI LDAP de CDP
  3. Nombre de emisor combinado con el valor de la directiva SSLCRLHostname
Evite problemas Evite problemas: Si los certificados utilizan los formularios LDAP o HTTP URI de las extensiones CertificateDistributionPoint o AIA, asegúrese de que el sistema IBM HTTP Server puede establecer conexiones de salida de este tipo; es posible que tenga que ajustar los valores del cortafuegos. gotcha
Tema de conceptos    

Términos y condiciones para centros de información | Comentarios

Última actualización: October 10, 2014 03:11 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=cihs_crlinssl
Nombre de archivo: cihs_crlinssl.html