此部分提供了关于识别证书撤销列表(CRL)的伪指令及在全局服务器和虚拟主机中支持的那些伪指令的信息。
当键受损或对键的访问许可权被撤销时,证书撤销就可以撤销浏览器给予 IBM HTTP Server 的客户机证书。CRL 表示一个数据库,该数据库包含在计划的截止日期之前被撤销的证书的列表。
如果要在 IBM HTTP Server 中启用证书撤销,那么在轻量级目录访问协议(LDAP)服务器上发布 CRL。一旦将 CRL 发布到 LDAP 服务器上,您就可以使用 IBM HTTP Server 配置文件访问 CRL。CRL 确定请求的客户机证书的访问许可权状态。
CRL 选项在 SSL 虚拟主机内打开并关闭 CRL。如果您将 CRL 指定为选项,那么您选择了打开 CRL。如果您没有将 CRL 指定为选项,那么 CRL 保持关闭。如果 SSLClientAuth 的第一个选项等于 0/none,那么您不能使用第二个选项 CRL。如果您没有打开客户机认证,那么不会进行 CRL 处理。
使用在 IBM HTTP Server 的 bin 目录中的 sslstash 命令,以创建您的 CRL 密码隐藏文件。使用 sslstash 命令指定的密码应该就是用于登录到 LDAP 服务器的密码。
用法:sslstash [-c] <directory_to_password_file_and_file_name> <function_name> <password>