[AIX Solaris HP-UX Linux Windows][z/OS]

SSL-Zertifikatswiderruflisten

Dieser Abschnitt enthält Informationen zu den Anweisungen für Zertifikatswiderruflisten (CRL, Certificate Revocation List) und solchen Anweisungen, die in globalen Servern und virtuellen Hosts unterstützt werden.

Der Zertifikatswiderruf gibt Ihnen die Möglichkeit, ein vom Browser an IBM® HTTP Server übergebenes Clientzertifikat zu widerrufen, wenn der Schlüssel nicht mehr sicher ist oder wenn die Zugriffsberechtigung für den Schlüssel widerrufen wird. Eine CRL ist eine Datenbank, die eine Liste mit Zertifikaten enthält, die vor dem geplanten Verfallsdatum widerrufen wurden.

Wenn Sie den Zertifikatswiderruf in IBM HTTP Server aktivieren möchten, müssen Sie die CRL auf einem LDAP-Server (Lightweight Directory Access Protocol) veröffentlichen. Sobald die CRL auf einem LDAP-Server veröffentlicht ist, können Sie mit der Konfigurationsdatei von IBM HTTP Server auf die CRL zugreifen. Die CRL bestimmt den Status der Zugriffsberechtigung für das angeforderte Clientzertifikat. Es ist jedoch nicht immer möglich, den Widerrufstatus eines Clientzertifikats zu bestimmen, wenn der Back-End-Server, die Quelle der Widerrufdaten, nicht verfügbar ist oder nicht ordnungsgemäß mit IBM HTTP Server kommuniziert.

Anweisungen für das Konfigurieren einer Zertifikatswiderrufliste. Mit der Anweisung "SSLClientAuth" können zwei Optionen gleichzeitig angegeben werden:

Die Option CRL aktiviert und inaktiviert die CRL in einem virtuellen SSL-Host. Wenn Sie CRL als Option angeben, wird die CRL aktiviert. Wenn Sie CRL nicht als Option angeben, bleibt die CRL inaktiviert. Wenn die erste Option für "SSLClientAuth" nicht definiert wird oder 0 ist, können Sie die zweite Option, "CRL", nicht verwenden. Sollten Sie ohne Clientauthentifizierung arbeiten, findet keine CRL-Verarbeitung statt.

In globalen Servern oder virtuellen Hosts unterstützte Anweisungen Globale Server und virtuelle Hosts unterstützen die folgenden Anweisungen:
Nach der URIDistributionPoint-X509-Erweiterung im Clientzertifikat wird die CRL geprüft und der aus der Aussteller-ID des Clientzertifikats erstellte DN ausprobiert. Wenn das Zertifikat einen CDP (CRL Distribution Point, CRL-Verteilungspunkt) enthält, hat diese Information eine Vorrangstellung. Die Informationen werden in der folgenden Reihenfolge verwendet:
  1. CDP-LDAP-X.500-Name
  2. CDP-LDAP-URI
  3. Ausstellername, kombiniert mit dem Wert aus der Anweisung SSLCRLHostname
Fehler vermeiden Fehler vermeiden: Wenn Ihre Zertifikate das LDAP- oder das HTTP-URI-Format der CertificateDistributionPoint- oder AIA-Erweiterungen haben, müssen Sie sicherstellen, dass das IBM HTTP-Server-System in der Lage ist, abgehende Verbindungen dieses Typs herzustellen. Möglicherweise müssen Sie dazu die Einstellungen Ihrer Firewall anpassen. gotcha
Konzeptartikel    

Nutzungsbedingungen für Information Center | Feedback

Letzte Aktualisierung: October 19, 2014 09:53 PM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=cihs_crlinssl
Dateiname: cihs_crlinssl.html