[AIX Solaris HP-UX Linux Windows][z/OS]

SSL-Zertifikatswiderrufliste und Online Certificate Status Protocol

Dieser Abschnitt enthält Informationen zur Konfiguration der Zertifikatswiderrufsprüfung für Clientzertifikate. Die Zertifikatswiderrufsliste (CRL, Certificate Revocation List) ist ein veraltetes Feature. Sie können für TLS-Zertifikate Online Certificate Status Protocol (OCSP) verwenden.

Anmerkung: Die Zertifikatswiderrufsliste (CRL, Certificate Revocation List) ist ein veraltetes Feature. Verwenden Sie für TLS-Zertifikate Online Certificate Status Protocol (OCSP).
Der Zertifikatswiderruf gibt Ihnen die Möglichkeit, ein vom Browser an IBM® HTTP Server übergebenes Clientzertifikat zu widerrufen, wenn der Schlüssel nicht mehr sicher ist oder wenn die Zugriffsberechtigung für den Schlüssel widerrufen wird. Die Widerrufsprüfung wird mit den folgenden beiden Protokollen durchgeführt:
Zertifikatswiderrufliste (CRL)
Eine Datenbank, die eine Liste mit Zertifikaten enthält, die vor dem geplanten Verfallsdatum widerrufen wurden.
Online Certificate Status Protocol (OCSP)
Ein HTTP-basierter Service, mit dem geprüft wird, ob ein einzelnes Zertifikat vor dem geplanten Verfallsdatum widerrufen wurde.

Wenn Sie den Zertifikatswiderruf in IBM HTTP Server aktivieren möchten, müssen Sie die CRL auf einem LDAP-Server (Lightweight Directory Access Protocol) veröffentlichen. Sobald die CRL auf einem LDAP-Server veröffentlicht ist, können Sie mit der Konfigurationsdatei von IBM HTTP Server auf die CRL zugreifen. Die CRL bestimmt den Status der Zugriffsberechtigung für das angeforderte Clientzertifikat. Es ist jedoch nicht immer möglich, den Widerrufstatus eines Clientzertifikats zu ermitteln, wenn der Back-End-Server, die Quelle der Widerrufdaten, nicht verfügbar ist oder nicht ordnungsgemäß mit IBM HTTP Server kommuniziert.

Die Option CRL aktiviert und inaktiviert die CRL in einem virtuellen SSL-Host. Wenn Sie CRL als Option angeben, wird die Zertifikatswiderrufliste (CRL) aktiviert. Wenn Sie CRL nicht als Option angeben, bleibt die Zertifikatswiderrufliste (CRL) inaktiviert. Wenn die erste Option für "SSLClientAuth" nicht definiert wird oder 0 ist, können Sie die zweite Option, "CRL", nicht verwenden. Sollten Sie ohne Clientauthentifizierung arbeiten, findet keine CRL-Verarbeitung statt.

Die Informationen zum Zertifikatswiderruf stammen aus verschiedenen Quellen:
  • Ein Web-Server-Administrator kann Widerrufsinformationen aus mehreren Quellen zusammenfassen und die betreffende Position explizit konfigurieren.
    • Für OCSP wird diese Quelle mit der Anweisung "SSLOCSPResponderURL" konfiguriert.
    • Für CRL wird diese Quelle mit der Anweisung "SSLCRLHostname" und dem optionalen Argument "crl" der Anweisung "SSLClientAuth" konfiguriert.
  • Eine Zertifizierungsstelle kann die maßgebliche Quelle der Widerrufsinformationen in jedes von ihr ausgestellten Zertifikat einbetten.
    • Für CRL wird diese Quelle nur bei Konfiguration der explizit konfigurierten Quelle verwendet.
    • Für OCSP wird die Verarbeitung dieser Quellen mit SSLOCSPEnable konfiguriert.
    Fehler vermeiden Fehler vermeiden: Es ist jedoch nicht immer möglich, den Widerrufstatus eines Clientzertifikats zu ermitteln, wenn der Back-End-Server, die Quelle der Widerrufdaten, nicht verfügbar ist oder nicht ordnungsgemäß mit IBM HTTP Server kommuniziert. Mit der Anweisung "SSLUnknownRevocationStatus" können Sie konfigurieren, wie sich der Server in diesem Fall verhält.gotcha
    Fehler vermeiden Fehler vermeiden: Wenn Ihre Zertifikate das LDAP- oder das HTTP-URI-Format der CertificateDistributionPoint- oder AIA-Erweiterungen haben, müssen Sie sicherstellen, dass das IBM HTTP-Server-System in der Lage ist, abgehende Verbindungen dieses Typs herzustellen. Möglicherweise müssen Sie dazu die Einstellungen Ihrer Firewall anpassen. gotcha

In globalen Servern oder virtuellen Hosts unterstützte CRL-spezifischen Anweisungen ermitteln

Weitere Informationen zur Konfiguration von OCSP finden Sie unter SSL-Anweisungen. Globale Server und virtuelle Hosts unterstützen die folgenden Anweisungen:
  • SSLCRLHostname: Die IP-Adresse und der Host des LDAP-Servers, auf dem die CRL-Datenbank veröffentlicht ist. Gegenwärtig müssen Sie alle statischen CRL-Repositorys so konfigurieren, dass sie die Überprüfung anderer URI-Formate in den Feldern vom Typ CRLDistributionPoint zulassen.

    [z/OS]Abfragen, die sich auf Zertifikatswiderrufslisten beziehen, können nur an einen explizit konfigurierten LDAP-Server gerichtet werden, und der SSL-Handshake schlägt fehl, wenn der Back-End-Server nicht erreichbar ist.

  • SSLCRLPort: Der Port des LDAP-Servers, auf dem die CRL-Datenbank veröffentlicht ist. Der Standardport ist 389.
  • SSLCRLUserID: Die Benutzer-ID, die an den LDAP-Server gesendet wird, auf dem die CRL-Datenbank veröffentlicht ist. Wenn Sie keine Bindung angeben, wird standardmäßig anonymous verwendet.
  • SSLStashfile: Der vollständig qualifizierte Pfad der Datei, die das Kennwort für den Benutzer des LDAP-Servers enthält. Diese Anweisung ist für anonyme Bindungen nicht erforderlich. Definieren Sie die Anweisung, wenn Sie eine Benutzer-ID angeben.

    Verwenden Sie den Befehl sslstash im Verzeichnis bin von IBM HTTP Server, um die Stashdatei mit dem CRL-Kennwort zu erstellen. Das Kennwort, das Sie mit dem Befehl sslstash angeben, muss dasselbe sein, dass Sie für die Anmeldung am LDAP-Server verwenden.

    Syntax:
    sslstash [-c] &ltVerzeichnis_für_Kennwortdatei_und_Dateiname&gt; <Funktionsname> <Kennwort>
    Für diese Angaben gilt Folgendes:
    • -c: Erstellt eine neue Stashdatei. Falls Sie diese Option nicht angeben, wird eine vorhandene Datei aktualisiert.
    • Datei: Steht für den vollständig qualifizierten Namen der zu erstellenden bzw. zu aktualisierenden Datei.
    • Funktion: Gibt die Funktion an, für die das Kennwort verwendet werden soll. Die gültigen Werte sind crl und crypto.
    • Kennwort: Steht für das verdeckt zu speichernde Kennwort.
  • [AIX Solaris HP-UX Linux Windows]SSLUnknownRevocationStatus: Diese Anweisung erlaubt Ihnen, in einer Konfiguration festzulegen, wie IBM HTTP Server antworten soll, wenn frische CRL-Informationen oder OCSP-Informationen (Online Certificate Status Protocol) nicht verfügbar sind und daher nicht bekannt ist, dass das gegenwärtig angebotene Clientzertifikat in einer vorher ausgeführten Abfrage widerrufen wurde. Standardmäßig wird davon ausgegegangen, dass Zertifikate nicht widerrufen werden, d. h., sie werden als gültig vorausgesetzt, und wenn vorübergehend keine CRL- oder OCSP-Informationen verfügbar sind, hat dies nicht automatisch einen SSL-Handshake-Fehler zur Folge. Diese Anweisung wird bereitgestellt, um eine Reaktion zu ermöglichen in einer Situation, in der ein Zertifikat akzeptiert wurde, ohne dass IBM HTTP Server den Widerrufsstatus zuverlässig bestätigen kann.
    Diese Anweisung ist nur wirksam, wenn alle folgenden Bedingungen zutreffen:
    • IBM HTTP Server ist konfiguriert, Clientzertifikate mit der Anweisung "SSLClientAuth" zu akzeptieren.
    • IBM HTTP Server ist mit einer der folgenden Anweisungen konfiguriert: SSLOCSPEnable, SSLOCSPUrl, SSLCRLHostname.
    • Ein SSL-Clientzertifikat ist bereitgestellt.
    • IBM HTTP Server empfängt keine gültige OCSP- oder CRL-Antwort vom konfigurierten Back-End-Server, und das Clientzertifikat erscheint als nicht widerrufen in einer zwischengespeicherten, aber abgelaufenen CRL-Antwort.

      IBM HTTP Server verwendet eine zwischengespeicherte Zertifikatswiderrufliste, deren veröffentlichte Verfallszeit überschritte ist, nur, wenn keine aktuelle Version verfügbar ist. Wurde ein Zertifikat in einer solchen abgelaufenen Zertifikatswiderrufsliste widerrufen, hat dies einen SSL-Handshake-Fehler außerhalb des Geltungsbereichs der Anweisung SSLUnknownRevocationStatus zur Folge.

Nach der URIDistributionPoint-X509-Erweiterung im Clientzertifikat wird die CRL geprüft und der aus der Aussteller-ID des Clientzertifikats erstellte DN ausprobiert. Wenn das Zertifikat einen CDP (CRL Distribution Point, CRL-Verteilungspunkt) enthält, hat diese Information eine Vorrangstellung. Die Informationen werden in der folgenden Reihenfolge verwendet:
  1. CDP-LDAP-X.500-Name
  2. CDP-LDAP-URI
  3. Ausstellername, kombiniert mit dem Wert aus der Anweisung SSLCRLHostname

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=cihs_crlinssl
Dateiname:cihs_crlinssl.html