Dieser Abschnitt enthält Informationen zu den Anweisungen für Zertifikatwiderruflisten (CRL, Certificate Revocation List)
und solchen Anweisungen, die in globalen Servern und virtuellen Hosts unterstützt werden.
Der Zertifikatwiderruf gibt Ihnen die Möglichkeit, ein vom Browser an IBM HTTP Server übergebenes Clientzertifikat
zu widerrufen, wenn der Schlüssel nicht mehr sicher ist oder wenn die Zugriffsberechtigung für den Schlüssel widerrufen
wird.
Eine CRL ist eine Datenbank, die eine Liste mit Zertifikaten enthält, die vor dem geplanten Verfallsdatum widerrufen
wurden.
Wenn Sie den Zertifikatwiderruf in IBM HTTP Server aktivieren möchten, müssen Sie die
CRL auf einem LDAP-Server (Lightweight Directory Access Protocol) veröffentlichen.
Sobald die CRL auf einem LDAP-Server veröffentlicht ist, können Sie mit der Konfigurationsdatei
von IBM HTTP Server auf die CRL zugreifen. Die CRL bestimmt den Status der Zugriffsberechtigung für das angeforderte
Clientzertifikat.
Anweisungen für das Konfigurieren einer Zertifikatwiderrufliste. Mit der Anweisung
SSLClientAuth können zwei Optionen gleichzeitig angegeben werden:
- SSLClientAuth 2 crl
- SSLClientAuth 1 crl
Die Option CRL aktiviert und inaktiviert die CRL in einem virtuellen SSL-Host. Wenn Sie
CRL als Option angeben, wird die CRL aktiviert. Wenn Sie CRL nicht als Option angeben, bleibt die CRL inaktiviert.
Wenn die erste Option für SSLClientAuth nicht definiert wird oder 0 ist, können Sie die zweite Option, CRL, nicht verwenden. Sollten Sie
ohne Clientauthentifizierung arbeiten, findet keine CRL-Verarbeitung statt.
In globalen Servern oder virtuellen Hosts unterstützte Anweisungen Globale Server und
virtuelle Hosts unterstützen die folgenden Anweisungen:
- PSLCRLHostname: Die IP-Adresse und der Host des LDAP-Servers, auf dem die CRL-Datenbank veröffentlicht ist.
- SSLCRLPort: Der Port des LDAP-Servers, auf dem die CRL-Datenbank veröffentlicht ist. Der Standardport ist 389.
- SSLCRLUserID: Die Benutzer-ID, die an den LDAP-Server gesendet wird, auf dem die CRL-Datenbank veröffentlicht ist.
Wenn Sie keine Bindung angeben, wird standardmäßig anonymous verwendet.
- SSLStashfile: Der vollständig qualifizierte Pfad der Datei, die das Kennwort für den Benutzer des LDAP-Servers
enthält.
Diese Anweisung ist für anonyme Bindungen nicht erforderlich.
Definieren Sie die Anweisung, wenn Sie eine Benutzer-ID angeben.
Verwenden Sie den Befehl sslstash im Verzeichnis
bin von IBM HTTP Server, um die verdeckte Datei mit dem CRL-Kennwort zu erstellen.
Das Kennwort, das Sie mit dem Befehl sslstash angeben, muss dasselbe sein, dass Sie für die Anmeldung am LDAP-Server verwenden.
Syntax: sslstash
[-c] <Verzeichnis_mit_Kennwortdatei_und_Dateiname> <Funktionsname> <Kennwort>
Für diese Angaben gilt Folgendes:
- -c: Erstellt eine neue verdeckte Datei. Falls Sie diese Option nicht angeben, wird eine vorhandene Datei aktualisiert.
- Datei: Steht für den vollständig qualifizierten Namen der zu erstellenden bzw. zu aktualisierenden Datei.
- Funktion: Gibt die Funktion an, für die das Kennwort verwendet werden soll.
Die gültigen Werte sind crl und crypto.
- Kennwort: Steht für das verdeckt zu speichernde Kennwort.
Nach der URIDistributionPoint-X509-Erweiterung im Clientzertifikat wird die CRL geprüft und der
aus der Aussteller-ID des Clientzertifikats erstellte DN ausprobiert.
Wenn das Zertifikat einen CDP (CRL Distribution Point, CRL-Verteilungspunkt) enthält, hat diese Information eine Vorrangstellung. Die Informationen werden in der folgenden Reihenfolge verwendet:
- CDP-LDAP-X.500-Name
- CDP-LDAP-URI
- Ausstellername, kombiniert mit dem Wert aus der Anweisung SSLCRLHostname