[AIX Solaris HP-UX Linux Windows][z/OS]

SSL da Lista de Revogação de Certificado

Esta seção fornece informações sobre a identificação de diretivas para a CRL (Certificate Revocation List) e as suportadas nos servidores globais e hosts virtuais.

A revogação de certificado fornece a capacidade de revogar um certificado de cliente fornecido para o IBM® HTTP Server pelo navegador quando a chave se torna comprometida ou quando a permissão de acesso à chave é revogada. O CRL representa um banco de dados que contém uma lista de certificados revogados antes da data de expiração planejada.

Se desejar ativar a revogação de certificado no IBM HTTP Server, publique a CRL em um servidor Lightweight Directory Access Protocol (LDAP). Quando a CRL for publicada em um servidor LDAP, será possível acessá-la usando o arquivo de configuração do IBM HTTP Server. A CRL determina o status da permissão de acesso do certificado de cliente solicitado. Esteja ciente, no entanto, que não é sempre possível determinar o status de revogação de um certificado de cliente se o servidor backend, a origem de dados de revogação, não está disponível ou não está se comunicando corretamente com o IBM HTTP Server.

A identificação de diretivas precisou configurar uma Certificate Revocation List. A diretiva SSLClientAuth pode incluir duas opções por vez:

A opção CRL liga e desliga a CRL em um host virtual SSL. Se você especificar a CRL como uma opção, escolha ligar a CRL. Se você não especificar a CRL como uma opção, a CRL permanecerá desligada. Se a primeira opção para SSLClientAuth for igual a 0/nenhum, não será possível utilizar a segunda opção, CRL. Se a autenticação de clientes não estiver ativada, então o processamento da CRL não ocorrerá.

Identificando diretivas suportadas no servidor global e host virtual. O servidor global e o host virtual suportam a seguintes diretivas:
A verificação da CRL segue a extensão URIDistributionPoint X509 no certificado cliente e também a tentativa de DN construído a partir do emissor do certificado cliente. Se o certificado contiver um CDP (CRL Distribution Point), essa informação terá a precedência determinada. A ordem em que a informação é utilizada é a seguinte:
  1. CDP LDAP X.500 nome
  2. CDP LDAP URI
  3. O nome do emissor combinado com o valor da diretiva SSLCRLHostname
Evitar Problemas Evitar Problemas: Se seus certificados usarem os formatos de URI LDAP ou HTTP das extensões CertificateDistributionPoint ou AIA, certifique-se de que o sistema IBM HTTP Server possa estabelecer conexões de saída deste tipo; pode ser necessário ajustar as configurações para seu firewall.gotcha
Tópico de Conceito    

Termos e condições para centros de informações | Feedback

Última atualização: October 28, 2014 11:09 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=cihs_crlinssl
Nome do arquivo: cihs_crlinssl.html