[AIX Solaris HP-UX Linux Windows][z/OS]

SSL 憑證撤銷清冊和線上憑證狀態通訊協定

瞭解如何針對用戶端憑證配置憑證撤銷檢查。憑證撤銷清冊 (CRL) 是一項已淘汰的特性。「線上憑證狀態通訊協定 (OCSP)」可以與 TLS 憑證搭配使用。

註: 憑證撤銷清冊 (CRL) 是一項已淘汰的特性。「線上憑證狀態通訊協定 (OCSP)」可以與 TLS 憑證搭配使用。
憑證撤銷可讓您在金鑰洩露時,或是金鑰的存取權被撤銷時,撤銷瀏覽器提供給 IBM® HTTP Server 的用戶端憑證。下列兩種通訊協定會執行撤銷檢查。
憑證撤銷清冊 (CRL)(已淘汰)
一個包含憑證清單的資料庫,這些憑證在排定的到期日之前,就已撤銷。
線上憑證狀態通訊協定 (OCSP)
HTTP 型服務,用來檢查個別的憑證是否在排定的到期日之前即已撤銷。

如果您想要在 IBM HTTP Server 中啟用憑證撤銷,請在「輕量型目錄存取通訊協定 (LDAP)」伺服器上發佈 CRL。一旦 CRL 發佈至 LDAP 伺服器,您就可以使用 IBM HTTP Server 配置檔來存取 CRL。CRL 會判斷所要求之用戶端憑證的存取權狀態。不過,如果後端伺服器(撤銷資料的來源)無法使用,或是未與 IBM HTTP Server 正常通訊,就不一定能夠判斷用戶端憑證的撤銷狀態。

CRL 選項可以在 SSL 虛擬主機中開關 CRL。如果您指定 CRL 作為選項,表示您選擇開啟 CRL。如果您未指定 CRL 作為選項,則 CRL 會維持關閉。如果 SSLClientAuth 的第一個選項等於 0/無,則無法使用第二個選項 CRL。如果您未開啟用戶端鑑別,就不會進行 CRL 處理。

憑證撤銷資訊由下列不同來源提供:
  • Web 伺服器管理者可以從多方來源聚集撤銷資訊,並明確配置該位置
    • 對於 OCSP,SSLOCSPResponderURL 指引會配置此來源。
    • 對於 CRL,SSLCRLHostname 指引和 SSLClientAuth 指引的 crl 選用引數會配置此來源。
  • 憑證管理中心可以將撤銷資訊的授權來源內嵌在它所簽發的每一份憑證中。
    • 對於 CRL,必須配置已明確配置的來源,才會使用此來源。
    • 對於 OCSP,SSLOCSPEnable 會配置處理這些來源。
    避免困難 避免困難: 如果後端伺服器(撤銷資料的來源)無法使用,或是未與 IBM HTTP Server 正常通訊,就不一定能夠判斷用戶端憑證的撤銷狀態。請參閱 "SSLUnknownRevocationStatus" 指引,以配置伺服器在這類事件中的行為。gotcha
    避免困難 避免困難: 如果您的憑證使用 CertificateDistributionPoint 或 AIA 延伸的 LDAP 或 HTTP URI 表單,請確定 IBM HTTP Server 系統可以建立這種類型的送出連線;您可能需要調整防火牆的設定。gotcha

識別廣域伺服器和虛擬主機中支援的 CRL 特定指引。

請參閱SSL 指引,以取得配置 OCSP 的相關資訊。廣域伺服器和虛擬主機支援下列指引:
  • SSLCRLHostname:LDAP 伺服器的 IP 位址和主機,CRL 資料庫所在之處。目前,您必須配置任何靜態 CRL 儲存庫,以供檢查 CRLDistributionPoint 欄位中的其他 URI 表單。

    [z/OS]只有在明確配置的 LDAP 伺服器中可以查詢 CRL,如果無法與後端伺服器通訊,SSL 信號交換就會失敗。

  • SSLCRLPort:CRL 資料庫所在的 LDAP 伺服器埠;預設值為 389。
  • SSLCRLUserID:要傳送至 CRL 資料庫所在之 LDAP 伺服器的使用者 ID;如果您未指定連結,則預設為匿名。
  • SSLStashfile:LDAP 伺服器使用者名稱密碼所在檔案的完整路徑。匿名連結不需要此指引。當您指定使用者 ID 時才使用。

    使用 sslstash 指令(位於 IBM HTTP Server 的 bin 目錄中),來建立 CRL 密碼隱藏檔。您使用 sslstash 指令來指定的密碼,應該等於您用來登入 LDAP 伺服器的密碼。

    用法:
    sslstash [-c] &ltdirectory_to_password_file_and_file_name&gt; <function_name> <password>
    其中:
    • -c:建立新的隱藏檔。如果未指定,現有的檔案會更新。
    • File:代表所要建立或更新之檔案的完整名稱。
    • Function:指出要使用密碼的功能。有效值包括 crl 或 crypto。
    • Password:代表所要隱藏的密碼。
  • [AIX Solaris HP-UX Linux Windows]SSLUnknownRevocationStatus:此指引可讓您配置當新的「憑證撤銷清冊 (CRL)」資訊或 OCSP(線上憑證狀態通訊協定)資訊無法使用時,以及不知道目前提供的用戶端憑證要從先前的查詢撤銷時,IBM HTTP Server 要如何回應。預設會假設憑證不會被撤銷,意即憑證是有效的,而暫時無法取得 CRL 或 OCSP 資訊並不會自動導致 SSL 信號交換失敗。提供此指引是為了回應已接受憑證,但 IBM HTTP Server 無法確實地確認撤銷狀態時的情況。
    下列條件必須全部符合,此指引才有效:
    • 使用 SSLClientAuth 指引將 IBM HTTP Server 配置為接受用戶端憑證。
    • 使用下列其中一個指引來配置 IBM HTTP Server:SSLOCSPEnable、SSLOCSPUrl 或 SSLCRLHostname。
    • 提供 SSL 用戶端憑證。
    • IBM HTTP Server 未從所配置的後端伺服器收到有效的 OCSP 或 CRL 回應,而用戶端憑證在已快取但過期的 CRL 回應中未顯示為撤銷。

      當無法使用現行版本時,IBM HTTP Server 會使用已超過所發佈之有效期限的快取 CRL。當憑證在這種過期的 CRL 中被撤銷時,會導致 SSLUnknownRevocationStatus 指引範圍外的直接 SSL 信號交換失敗。

CRL 檢查會遵循用戶端憑證中的 URIDistributionPoint X509 延伸,也會嘗試從用戶端憑證發證者建構的 DN。如果憑證包含「CRL 分佈點 (CDP)」,則會優先使用該資訊。資訊的使用順序如下:
  1. CDP LDAP X.500 名稱
  2. CDP LDAP URI
  3. 結合 SSLCRLHostname 指引值的發證者名稱

指出主題類型的圖示 概念主題



時間戳記圖示 前次更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=cihs_crlinssl
檔名:cihs_crlinssl.html