In questa sezione vengono fornite informazioni per identificare le direttive
di CRL (Certificate Revocation List) e quelle supportate sui server globali e sugli host
virtuali.
Se la chiave è compromessa o è stata revocata l'autorizzazione di accesso alla chiave, la revoca
dei certificati consente di revocare un certificato client fornito dal browser a IBM HTTP Server. CRL è un database che contiene un elenco di certificati revocati prima
della loro data di scadenza programmata.
Se si desidera abilitare la revoca dei certificati in IBM HTTP Server, caricare il CRL su un server LDAP (Lightweight Directory Access Protocol). Dopo
aver caricato il CRL su un server LDAP, è possibile accedere al CRL utilizzando il file
di configurazione di IBM HTTP Server. Il CRL determina lo stato delle autorizzazioni di accesso del certificato del client
richiesto.
Identificazione delle direttive necessarie per impostare un CRL (Certificate
Revocation List). La direttiva SSLClientAuth può avere avere contemporaneamente due opzioni:
- SSLClientAuth 2 crl
- SSLClientAuth 1 crl
L'opzione CRL attiva e disattiva CRL in un host virtuale SSL. Se viene specificato CRL
come opzione, è possibile scegliere di attivare CRL. In caso contrario, CRL rimane
disattivato. Se la prima opzione per SSLClientAuth è 0/none, non è possibile utilizzare
la seconda opzione, CRL. Se l'autenticazione client non è abilitata, l'elaborazione di CRL
non viene eseguita.
Identificazione delle direttive supportate sul server globale e sull'host virtuale. Il server globale e l'host virtuale supportano le seguenti direttive:
- SQLJ (VSLCRLHostname: l'indirizzo IP e l'host del server LDAP su cui si trova il database CRL.
- SSLCRLPort: la porta del server LDAP in cui si trova il database CRL; il valore
predefinito è 389.
- SSLCRLUserID: l'ID utente da inviare al server LDAP in cui si trova il database CRL;
se non viene specificato il collegamento, il valore predefinito è anonymous.
- SSLStashfile: il percorso completo al file in cui si trova la password del nome
utente sul server LDAP. Questa direttiva non è obbligatoria per un collegamento anonimo. Da utilizzare quando viene specificato un ID utente.
Utilizzare il comando sslstash ubicato nella directory bin di IBM HTTP Server, per
creare il file stash delle password CRL. La password specificata tramite il comando
sslstash deve essere quella utilizzata per il collegamento al server LDAP.
Uso: sslstash
[-c] <directory_al_file_password_e_al_nome_file> <nome_funzione>
<password>
dove:
- -c: crea un nuovo file stash. Se non specificato, viene aggiornato un file esistente.
- File: indica il nome completo del file da creare o da aggiornare.
- Funzione: indica la funzione per la quale utilizzare la password.
I valori
validi includono crl o crypto.
- Password: indica la password da inserire nel file stash.
Il controllo CRL segue l'estensione URIDistributionPoint X509 nel certificato client
e prova il DN creato dall'emittente del certificato. Se il certificato contiene un CRL Distribution Point (CDP),
allora tali informazioni avranno la precedenza. L'ordine con cui vengono utilizzate le informazioni è:
- Nome X.500 LDAP CDP
- URL LDAP CDP
- Il nome dell'emittente combinato con il valore dalla direttiva SSLCRLHostname