[AIX Solaris HP-UX Linux Windows][z/OS]

SSL 인증서 폐기 목록 및 온라인 인증서 상태 프로토콜

클라이언트 인증서에 대한 인증서 폐기 검사 구성에 대해 학습하십시오. 인증서 폐기 목록(CRL)은 더 이상 사용되지 않는 기능입니다. TLS 인증서의 경우 온라인 인증서 상태 프로토콜(OCSP)을 사용할 수 있습니다.

참고: 인증서 폐기 목록(CRL)은 더 이상 사용되지 않는 기능입니다. TLS 인증서의 경우 온라인 인증서 상태 프로토콜(OCSP)을 사용하십시오.
인증서 폐기는 키가 손상되거나 키에 대한 액세스 권한이 취소된 경우 브라우저에 의해 IBM® HTTP Server에 제공된 클라이언트 인증서를 폐기하는 기능을 제공합니다. 다음 두 프로토콜이 폐기 검사를 수행합니다.
인증서 폐기 목록(CRL), (더 이상 사용되지 않음)
스케줄된 만기 날짜 전에 폐기된 인증서 목록을 포함하는 데이터베이스입니다.
온라인 인증서 상태 프로토콜(OCSP)
개별 인증서가 스케줄된 만기 날짜 전에 폐기되었는지 여부를 확인하는 데 사용되는 HTTP 기반 서비스입니다.

IBM HTTP Server에서 인증서 폐기를 사용하려면 LDAP(Lightweight Directory Access Protocol) 서버에서 CRL을 공개하십시오. CRL이 LDAP 서버에 공개되면 IBM HTTP Server 구성 파일을 사용하여 CRL에 액세스할 수 있습니다. CRL은 요청된 클라이언트 인증서의 액세스 권한 상태를 판별합니다. 그러나 폐기 데이터의 소스인 백엔드 서버가 사용 불가능하거나 IBM HTTP Server와 올바르게 통신하지 않으면 클라이언트 인증서의 폐기 상태를 판별하지 못할 수도 있습니다.

CRL 옵션은 SSL 가상 호스트 내에서 CRL을 설정하거나 해제합니다. CRL을 옵션으로 지정하면 CRL이 설정됩니다. CRL을 옵션으로 지정하지 않으면 CRL이 해제된 상태로 남습니다. SSLClientAuth의 첫 번째 옵션이 0/none이면 두 번째 옵션인 CRL을 사용할 수 없습니다. 클라이언트 인증을 설정하지 않으면 CRL 처리가 수행되지 않습니다.

다음과 같은 다양한 소스에서 인증 폐기 정보를 제공합니다.
  • 웹 서버 관리자는 여러 소스에서 폐기 정보를 집계하고 명시적으로 해당 위치를 구성할 수 있습니다.
    • OCSP의 경우, SSLOCSPResponderURL 지시문이 이 소스를 구성합니다.
    • CRL의 경우, SSLCRLHostname 지시문과 SSLClientAuth 지시문에 대한 선택적 crl 인수가 이 소스를 구성합니다.
  • 인증 기관은 자체에서 발행하는 각 인증서에 권위있는 폐기 정보 소스를 임베드할 수 있습니다.
    • CRL의 경우, 이 소스는 명시적으로 구성된 소스가 구성될 때만 사용됩니다.
    • OCSP의 경우, SSLOCSPEnable이 이러한 소스의 처리를 구성합니다.
    문제점 방지 문제점 방지: 폐기 데이터의 소스인 백엔드 서버가 사용 불가능하거나 IBM HTTP Server와 올바르게 통신하지 않으면 클라이언트 인증서의 폐기 상태를 판별하지 못할 수도 있습니다. 그러한 경우 서버가 작동하는 방법을 구성하려면 "SSLUnknownRevocationStatus" 지시문을 참조하십시오. gotcha
    문제점 방지 문제점 방지: 인증이 CertificateDistributionPoint 또는 AIA 확장의 LDAP 또는 HTTP URI 양식을 사용하는 경우 IBM HTTP Server 시스템이 이러한 유형의 출력 연결을 설정할 수 있습니다. 이 경우 방화벽의 설정을 조정해야 합니다.gotcha

글로벌 서버 및 가상 호스트에서 지원되는 CRL 특정 지시문 식별

OCSP 구성에 대한 자세한 정보는 SSL 지시문의 내용을 참조하십시오. 글로벌 서버 및 가상 호스트는 다음 지시문을 지원합니다.
  • SSLCRLHostname: CRL 데이터베이스가 있는 LDAP 서버의 IP 주소 및 호스트. 현재 정적 CRL 저장소가 CRLDistributionPoint 필드에서 다른 URI 양식 검사를 허용하도록 구성해야 합니다.

    [z/OS]명시적으로 구성된 LDAP 서버만 CRL을 조회할 수 있으며 백엔드 서버에 도달할 수 없으면 SSL 핸드쉐이크가 실패합니다.

  • SSLCRLPort: CRL 데이터베이스가 상주하는 LDAP 서버의 포트. 기본값은 389입니다.
  • SSLCRLUserID: CRL 데이터베이스가 상주하는 LDAP 서버로 보낼 사용자 ID 바인드를 지정하지 않는 경우 기본값은 anonymous입니다.
  • SSLStashfile: LDAP 서버에서 사용자 이름의 비밀번호가 있는 파일의 완전한 경로. 익명 바인드에는 이 지시문이 필요하지 않습니다. 사용자 ID를 지정할 때 사용하십시오.

    IBM HTTP Server의 bin 디렉토리에 있는 sslstash 명령을 사용하여 CRL 비밀번호 숨김 파일을 작성하십시오. sslstash 명령을 사용하여 지정하는 비밀번호는 LDAP 서버에 로그인할 때 사용하는 비밀번호와 같아야 합니다.

    사용법:
    sslstash [-c] &ltdirectory_to_password_file_and_file_name&gt; <function_name> <password>
    여기서
    • -c: 새 숨김 파일을 작성합니다. 지정하지 않으면 기존 파일이 업데이트됩니다.
    • File: 작성 또는 업데이트할 파일의 완전한 이름을 나타냅니다.
    • Function: 비밀번호를 사용할 기능을 나타냅니다. 올바른 값은 crl 또는 crypto입니다.
    • Password: 숨길 비밀번호를 나타냅니다.
  • [AIX Solaris HP-UX Linux Windows]SSLUnknownRevocationStatus: 이 지시문을 사용하면, 새 인증서 폐기 목록(CRL) 정보 또는 온라인 인증서 상태 프로토콜(OCSP) 정보를 사용할 수 없고 이전 조회에서 현재 제공되는 클라이언트 인증서가 폐기되었는지 알 수 없는 경우에 IBM HTTP Server가 응답하는 방법을 구성할 수 있습니다. 인증서는 기본적으로 폐기되지 않는 것으로 가정합니다. 이는 인증서가 유효하며 CRL 또는 OCSP 정보를 일시적으로 얻지 못한다고 해서 SSL 핸드쉐이크가 자동으로 실패하지는 않음을 의미합니다. 이 지시문은 IBM HTTP Server가 폐기 상태를 확실하게 확인하지 못하더라도 인증서를 승인한 환경에 응답하기 위해 제공됩니다.
    이 지시문은 다음 조건이 모두 참인 경우에만 유효합니다.
    • IBM HTTP Server가 SSLClientAuth 지시문을 사용하여 모든 클라이언트 인증서를 승인하도록 구성됩니다.
    • IBM HTTP Server가 SSLOCSPEnable, SSLOCSPUrl 또는 SSLCRLHostname 지시문 중 하나로 구성됩니다.
    • SSL 클라이언트 인증서가 제공됩니다.
    • IBM HTTP Server가 구성된 백엔드 서버에서 올바른 OCSP 또는 CRL 응답을 받지 않고 클라이언트 인증서가 캐시되었지만 만료된 CRL 응답에서 폐기된 것으로 나타나지 않습니다.

      IBM HTTP Server는 현재 버전을 사용할 수 없는 경우 공개된 만기 시점을 지난 캐시된 CRL을 사용합니다. 만기된 해당 CRL에서 인증이 폐기되면 SSLUnknownRevocationStatus 지시문의 범위를 벗어난 직접 SSL 핸드쉐이크 실패가 발생합니다.

CRL 검사는 클라이언트 인증서의 URIDistributionPoint X509 확장 다음에 수행되며 클라이언트 인증 발행자로부터 구성된 DN 검사도 수행됩니다. 인증에 CDP(CRL Distribution Point)가 포함되어 있으면 해당 정보의 우선순위가 높습니다. 정보 사용 순서는 다음과 같습니다.
  1. CDP LDAP X.500 이름
  2. CDP LDAP URI
  3. SSLCRLHostname 지시문에 있는 값과 결합된 발행자 이름

주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=cihs_crlinssl
파일 이름:cihs_crlinssl.html