このセクションでは、証明書取り消しリスト (CRL) のディレクティブおよびグローバル・サーバーと仮想ホストでサポートされているディレクティブの識別に関する情報を提供します。
証明書の失効には、キー漏えいが発生したか、キーへのアクセス権が取り消された場合に、ブラウザーにより IBM HTTP Server に対して与えられたクライアント証明書を取り消す機能が備えられています。
CRL は、予定された有効期限前に取り消された証明書のリストを含むデータベースを表します。
IBM HTTP Server の証明書の失効を使用可能にする場合は、Lightweight Directory Access Protocol (LDAP) サーバーで
CRL を発行します。LDAP サーバーで CRL を発行すると、IBM HTTP
Server 構成ファイルを使用して CRL にアクセスすることができます。CRL は、要求されたクライアント証明書のアクセス権状況を決定します。
証明書取り消しリストをセットアップするのに必要なディレクティブの識別。SSLClientAuth ディレクティブは一度に 2 つのオプションを含むことができます。
- SSLClientAuth 2 crl
- SSLClientAuth 1 crl
CRL オプションは、SSL 仮想ホスト内で CRL をオン/オフにします。 CRL をオプションとして指定する場合、CRL をオンにします。CRL をオプションとして指定しない場合、CRL はオフのままです。SSLClientAuth の最初のオプションが 0/なしの場合、2 番目のオプション CRL を使用することはできません。クライアント認証をオンにしない場合、CRL 処理は行われません。
グローバルまたはサーバーおよび仮想ホストでサポートされているディレクティブの識別。グローバル・サーバーおよび仮想ホストは以下のディレクティブをサポートしています。
- SSLCRLHostname: CRL データベースが存在する LDAP サーバーの IP アドレスおよびホスト。
- SSLCRLPort: CRL データベースが常駐する LDAP サーバーのポート。デフォルトは 389 です。
- SSLCRLUserID: CRL データベースが常駐する LDAP サーバーへ送信するユーザー ID。バインドを指定しない場合、デフォルトで匿名になります。
- SSLStashfile: LDAP サーバーのユーザー名のパスワードがあるファイルへの完全修飾パス。このディレクティブは、匿名バインドには必要ありません。
ユーザー ID を指定するときに使用します。
IBM HTTP Server の bin ディレクトリーに配置されている sslstash コマンドを使用して CRL パスワード・スタッシュ・ファイルを作成します。sslstash コマンドを使用して指定するパスワードは、LDAP サーバーにログインするために使用するパスワードと同じです。
使用法: sslstash
[-c] <directory_to_password_file_and_file_name> <function_name> <password>
各部の意味は、次のとおりです。
- -c: 新規 stash ファイルを作成します。指定しない場合、既存のファイルが更新されます。
- File: 作成または更新するファイルの完全修飾名を表します。
- Function: パスワードを使用する関数を示します。
有効な値には、crl または crypto があります。
- Password: stash へのパスワードを表します。
CRL 検査は、クライアント証明書の URIDistributionPoint X509 機能拡張に従います。
また、クライアント証明書の発行者によって構成された DN を試行します。証明書に CRL Distribution Point (CDP) が含まれる場合は、その情報が優先されます。
情報が使用される順序は以下のとおりです。
- CDP LDAP X.500 の名前
- CDP LDAP URI
- SSLCRLHostname ディレクティブの値が結合された発行者の名前