[AIX Solaris HP-UX Linux Windows][z/OS]

Lista de revogação de Certificado SSL e Online Certificate Status Protocol

Aprenda sobre a verificação de revogação de certificados para certificados de clientes. A Lista de Revogação de Certificado (CRL) é um recurso revogado. É possível usar o Online Certificate Status Protocol (OCSP) com certificados TLS.

Nota: A Lista de Revogação de Certificado (CRL) é um recurso revogado. Use o Online Certificate Status Protocol (OCSP) com certificados TLS.
A revogação de certificado fornece a capacidade de revogar um certificado de cliente que é fornecido para o IBM® HTTP Server pelo navegador quando a chave fica comprometida ou quando a permissão de acesso para a chave é revogada. Os dois protocolos a seguir executam verificação de revogação.
Lista de Revogação de Certificado (CRL), (descontinuada)
Um banco de dados que contém uma lista de certificados que são revogados antes de sua data de expiração planejada.
Online Certificate Status Protocol (OCSP)
Um serviço baseado em HTTP que é usado para verificar se um certificado individual foi revogado antes da data de expiração planejada.

Se desejar ativar a revogação de certificado no IBM HTTP Server, publique a CRL em um servidor Lightweight Directory Access Protocol (LDAP). Quando a CRL for publicada em um servidor LDAP, será possível acessá-la usando o arquivo de configuração do IBM HTTP Server. A CRL determina o status da permissão de acesso do certificado de cliente solicitado. Esteja ciente, no entanto, que nem sempre é possível determinar o status de revogação de um certificado de cliente se o servidor backend, a origem dos dados de revogação, não está disponível ou não está se comunicando corretamente com o IBM HTTP Server.

A opção CRL liga e desliga a CRL em um host virtual SSL. Se você especificar CRL como uma opção, então, escolha ativar a CRL. Se você não especificar a CRL como uma opção, a CRL permanecerá desligada. Se a primeira opção para SSLClientAuth for igual a 0/nenhum, não será possível utilizar a segunda opção, CRL. Se a autenticação de clientes não estiver ativada, então o processamento da CRL não ocorrerá.

Informações de revogação de certificação são fornecidas pelas diferentes origens a seguir:
  • um administrador de servidor da web pode agregar informações de revogação de várias origens e configuração tal local de maneira explícita
    • Para OCSP, a diretiva SSLOCSPResponderURL configura esta origem.
    • Para CRL, a diretiva SSLCRLHostname e o argumento crl opcional para a diretiva SSLClientAuth configura esta origem.
  • Uma autoridade de certificação pode integrar a origem autorizada das informações de revogação em cada certificado que ela emite.
    • Para CRL, esta origem é usada apenas quando a origem configurada de maneira explícita é configurada.
    • Para OCSP, SSLOCSPEnable configura o processamento destas origens.
    Evitar Problemas Evitar Problemas: Nem sempre é possível determinar o status de revogação de um certificado de cliente se o servidor backend, a origem dos dados de revogação, não está disponível ou não está se comunicando corretamente com o IBM HTTP Server. Veja a diretiva "SSLUnknownRevocationStatus" para configurar como o servidor se comporta em tal evento.gotcha
    Evitar Problemas Evitar Problemas: Se seus certificados usarem os formatos de URI LDAP ou HTTP das extensões CertificateDistributionPoint ou AIA, certifique-se de que o sistema IBM HTTP Server possa estabelecer conexões de saída deste tipo; pode ser necessário ajustar as configurações para seu firewall.gotcha

Identificando diretivas específicas de CRL suportadas no servidor global e no host virtual.

Veja o Diretivas SSL para obter mais informações sobre a configuração do OCSP. O servidor global e o host virtual suportam a seguintes diretivas:
  • SSLCRLHostname: o endereço IP e o host do servidor LDAP, no qual o banco de dados CRL reside. Atualmente, você deve configurar quaisquer repositórios de CRL estáticos para permitir a verificação de outras formas de URI nos campos CRLDistributionPoint.

    [z/OS]Apenas um servidor LDAP configurado explicitamente pode ser consultado para CRL e o handshake de SSL falha se o servidor backend não está acessível.

  • SSLCRLPort: A porta do servidor LDAP no qual o banco de dados CRL reside; o padrão é igual a 389.
  • SSLCRLUserID: O ID do usuário para enviar ao servidor LDAP no qual reside o banco de dados da CRL - padronizado para anônimo se a ligação não for especificada.
  • SSLStashfile: O caminho completo para arquivo no qual reside a senha para o nome do usuário no servidor LDAP. Essa diretriz não é requerida para uma ligação anônima. Utilize-a quando especificar um ID do usuário.

    Use o comando sslstash que está localizado no diretório bin do IBM HTTP Server, para criar seu arquivo de senha CRL. A senha que você especifica usando o comando sslstash deve ser a mesma usada para efetuar login em seu servidor LDAP.

    Uso:
    sslstash [-c] &ltdirectory_to_password_file_and_file_name&gt; <function_name> <password>
    em que:
    • -c: Cria um novo arquivo stash. Se não especificado, um arquivo existente é atualizado.
    • Arquivo: Representa o nome completo do arquivo a criar ou atualizar.
    • Função: Indica a função para a qual deve ser utilizada a senha. Os valores válidos incluem crl ou crypto.
    • Senha: Representa a senha a utilizar com stash.
  • [AIX Solaris HP-UX Linux Windows]SSLUnknownRevocationStatus: esta diretiva permite configurar como o IBM HTTP Server responde quando informações atuais da Lista de Revogação de Certificado (CRL) ou informações do OCSP (Online Certificate Status Protocol) não estiverem disponíveis e o certificado de cliente que é oferecido atualmente não for conhecido como estando revogado a partir de uma consulta anterior. Os certificados são presumidos como não estando revogados, por padrão, o que significa que eles são válidos e uma falha temporária para obter informações de CRL ou OCSP não resulta automaticamente em uma falha de handshake de SSL. Esta diretiva é fornecida para responder às circunstâncias nas quais um certificado foi aceito sem o IBM HTTP Server estar apto a confirmar de forma confiável o status da revogação.
    Esta diretiva possui um efeito apenas quando todas estas condições são verdadeiras:
    • O IBM HTTP Server foi configurado para aceitar certificados de cliente com a diretiva SSLClientAuth.
    • O IBM HTTP Server foi configurado com uma das diretivas a seguir: SSLOCSPEnable, SSLOCSPUrl ou SSLCRLHostname.
    • Um certificado de cliente SSL foi fornecido.
    • O IBM HTTP Server não recebe uma resposta de OCSP ou CRL válida do servidor backend configurado e o certificado de cliente não aparece como revogado em uma resposta de CRL em cache, mas não expirada.

      O IBM HTTP Server usa uma CRL em cache que está além de seu prazo de expiração publicado quando uma versão atual não está disponível. Quando um certificado tiver sido revogado tal como uma CRL expirada, isto resultará em uma falha de handshake de SSL direta que está fora do escopo da diretiva SSLUnknownRevocationStatus.

A verificação da CRL segue a extensão URIDistributionPoint X509 no certificado cliente e também a tentativa de DN construído a partir do emissor do certificado cliente. Se o certificado contiver um CDP (CRL Distribution Point), essa informação terá a precedência determinada. A ordem em que a informação é utilizada é a seguinte:
  1. CDP LDAP X.500 nome
  2. CDP LDAP URI
  3. O nome do emissor combinado com o valor da diretiva SSLCRLHostname

Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=cihs_crlinssl
Nome do arquivo: cihs_crlinssl.html