IBM HTTP Server for WebSphere Application Server, Version 6.1
             Betriebssysteme: AIX, HP-UX, Linux, Solaris, Windows, z/OS

             Inhaltsverzeichnis und Suchergebnisse anpassen

SSL-Zertifikatwiderruflisten

Dieser Abschnitt enthält Informationen zu den Anweisungen für Zertifikatwiderruflisten (CRL, Certificate Revocation List) und solchen Anweisungen, die in globalen Servern und virtuellen Hosts unterstützt werden.

Der Zertifikatwiderruf gibt Ihnen die Möglichkeit, ein vom Browser an IBM HTTP Server übergebenes Clientzertifikat zu widerrufen, wenn der Schlüssel nicht mehr sicher ist oder wenn die Zugriffsberechtigung für den Schlüssel widerrufen wird. Eine CRL ist eine Datenbank, die eine Liste mit Zertifikaten enthält, die vor dem geplanten Verfallsdatum widerrufen wurden.

Wenn Sie den Zertifikatwiderruf in IBM HTTP Server aktivieren möchten, müssen Sie die CRL auf einem LDAP-Server (Lightweight Directory Access Protocol) veröffentlichen. Sobald die CRL auf einem LDAP-Server veröffentlicht ist, können Sie mit der Konfigurationsdatei von IBM HTTP Server auf die CRL zugreifen. Die CRL bestimmt den Status der Zugriffsberechtigung für das angeforderte Clientzertifikat.

Anweisungen für das Konfigurieren einer Zertifikatwiderrufliste. Mit der Anweisung SSLClientAuth können zwei Optionen gleichzeitig angegeben werden:

Die Option CRL aktiviert und inaktiviert die CRL in einem virtuellen SSL-Host. Wenn Sie CRL als Option angeben, wird die CRL aktiviert. Wenn Sie CRL nicht als Option angeben, bleibt die CRL inaktiviert. Wenn die erste Option für SSLClientAuth nicht definiert wird oder 0 ist, können Sie die zweite Option, CRL, nicht verwenden. Sollten Sie ohne Clientauthentifizierung arbeiten, findet keine CRL-Verarbeitung statt.

In globalen Servern oder virtuellen Hosts unterstützte Anweisungen Globale Server und virtuelle Hosts unterstützen die folgenden Anweisungen:
Nach der URIDistributionPoint-X509-Erweiterung im Clientzertifikat wird die CRL geprüft und der aus der Aussteller-ID des Clientzertifikats erstellte DN ausprobiert. Wenn das Zertifikat einen CDP (CRL Distribution Point, CRL-Verteilungspunkt) enthält, hat diese Information eine Vorrangstellung. Die Informationen werden in der folgenden Reihenfolge verwendet:
  1. CDP-LDAP-X.500-Name
  2. CDP-LDAP-URI
  3. Ausstellername, kombiniert mit dem Wert aus der Anweisung SSLCRLHostname



Zugehörige Konzepte
Zertifikate
Zugehörige Verweise
SSL-Anweisungen
Konzeptartikel    

Nutzungsbedingungen | Feedback

Letzte Aktualisierung: Feb 20, 2009 1:36:28 AM CST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.ihs.doc/info/ihs/ihs/cihs_crlinssl.html