![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Lista de revocación de certificados SSL y Online Certificate Status Protocol
Información sobre la configuración de la comprobación de revocación de certificados para los certificados de cliente. La lista de revocación de certificados (CRL) es una característica en desuso. Puede utilizar Online Certificate Status Protocol (OCSP) con los certificados TLS.
- Lista de revocación de certificados (CRL), (en desuso)
- Una base de datos que contiene una lista de certificados revocados antes de su fecha de caducidad planificada.
- Online Certificate Status Protocol (OCSP)
- Un servicio basado en HTTP que se utiliza para comprobar si se ha revocado un certificado individual antes de la fecha de caducidad planificada.
Si desea habilitar la revocación de certificados en IBM HTTP Server, publique la CRL en un servidor LDAP (Lightweight Directory Access Protocol). Una vez publicada la CRL en un servidor LDAP, puede acceder a la CRL utilizando el archivo de configuración de IBM HTTP Server. La CRL determina el estado de permiso de acceso del certificado de cliente solicitado. No obstante, tenga en cuenta que no siempre es posible determinar el estado de revocación de un certificado de cliente si el servidor de fondo, el origen de datos de revocación, no está disponible o no se comunica correctamente con IBM HTTP Server.
La opción CRL activa y desactiva la CRL dentro de un host virtual SSL. Si especifica CRL como una opción, elige activar la CRL. Si no especifica CRL como una opción, la CRL permanece desactivada. Si la primera opción de SSLClientAuth es igual a 0/none, no puede utilizar la segunda opción, CRL. Si no tiene activada la autenticación de cliente, el proceso de CRL no se realiza.
- Un administrador de servidor web puede agregar información de revocación de varios orígenes y configurar explícitamente esa ubicación
- Para OCSP, la directiva SSLOCSPResponderURL configura este origen.
- Para CRL, la directiva SSLCRLHostname y el argumento crl opcional en la directiva SSLClientAuth configura este origen.
- Una entidad emisora de certificados puede incorporar el origen autorizado de información revocación en cada certificado que emite.
- Para CRL, este origen sólo se utiliza cuando se configura el origen configurado explícitamente.
- Para OCSP, SSLOCSPEnable configura el proceso de estos orígenes.
Avoid trouble: No siempre es posible determinar el estado de revocación de un certificado de cliente si el servidor de fondo, el origen de datos de revocación, no está disponible o no se comunica correctamente con IBM HTTP Server. Consulte la directiva "SSLUnknownRevocationStatus" para configurar cómo se comporta el servidor en este caso. gotcha
Avoid trouble: Si los certificados utilizan los formularios LDAP o HTTP URI de las extensiones CertificateDistributionPoint o AIA, asegúrese de que el sistema IBM HTTP Server puede establecer conexiones de salida de este tipo; es posible que tenga que ajustar los valores del cortafuegos. gotcha
Identificación de las directivas específicas de CRL soportadas en el host virtual y el servidor global.
- SSLCRLHostname: la dirección IP y el host del servidor LDAP, donde
reside la base de datos de CRL. Actualmente, debe configurar
cualquier repositorio CRL estático para permitir la comprobación de
otros formularios URI en los campos CRLDistributionPoint.
Sólo se puede consultar el CRL a un servidor LDAP configurado explícitamente, y el reconocimiento SSL falla si no se puede alcanzar el servidor de fondo.
- SSLCRLPort: el puerto del servidor LDAP donde reside la base de datos de LDAP; el valor predeterminado es 389.
- SSLCRLUserID: el ID de usuario que se envía al servidor LDAP donde reside la base de datos de CRL; si no especifica el enlace, toma el valor predeterminado anónimo.
- SSLStashfile: la vía plenamente cualificada del archivo donde reside la
contraseña del nombre de usuario en el servidor LDAP. Esta directiva no es
necesaria para un enlace anónimo. Utilícela cuando especifique un ID de
usuario.
Utilice el mandato sslstash, que se encuentra en el directorio bin de IBM HTTP Server, para crear el archivo stash de contraseña de CRL. La contraseña que especifica utilizando el mandato sslstash debe ser igual a la que se utiliza para conectarse al servidor LDAP.
Uso:
donde:sslstash [-c] <directorio_de_archivo_contraseña_y_nombre_archivo> <nombre_función> <contraseña>
- -c: crea un nuevo archivo stash. Si no se especifica, se actualiza un archivo existente.
- Archivo: representa el nombre plenamente cualificado del archivo que se crea o se actualiza.
- Función: indica la función para la que se utiliza la contraseña. Los valores válidos son crl o crypto.
- Contraseña: representa la contraseña que se oculta.
SSLUnknownRevocationStatus: Esta directiva permite configurar cómo responde IBM HTTP Server cuando no hay disponible información actualizada de lista de revocación de certificados (CRL) o de protocolo de estado de certificados en línea (OCSP), y no se tiene constancia de que el certificado de cliente que se ofrece actualmente se haya revocado a partir de una consulta anterior. De forma predeterminada, se supone que los certificados no se han revocado, lo que significa que son válidos, y una anomalía temporal para obtener información de CRL u OCSP no resulta automáticamente en un error de reconocimiento SSL. Esta directiva se proporciona para responder a las circunstancias en las que se ha aceptado un certificado sin que IBM HTTP Server haya podido confirmar de forma fiable el estado de revocación.
Esta directiva sólo tiene efecto cuando se cumplen todas estas condiciones:- IBM HTTP Server está configurado para aceptar certificados de cliente con la directiva SSLClientAuth.
- IBM HTTP Server está configurado con una de las siguientes directivas: SSLOCSPEnable, SSLOCSPUrl o SSLCRLHostname.
- Se proporciona un certificado de cliente SSL.
- IBM HTTP Server no recibe una respuesta OCSP o CRL válida del servidor
de fondo configurado, y el certificado de cliente no aparece como
revocado en una respuesta CRL almacenada en memoria caché, pero caducada.
IBM HTTP Server utiliza un CRL almacenado en memoria caché que haya caducado, cuando no hay disponible una versión actual. Cuando un certificado se ha revocado en un CRL caducado, el resultado será un error en el reconocimiento SSL directo que está fuera del ámbito de la directiva SSLUnknownRevocationStatus.
- Nombre LDAP X.500 de CDP
- URI LDAP de CDP
- Nombre de emisor combinado con el valor de la directiva SSLCRLHostname