La présente section fournit des informations sur l'identification des directives de la liste de retrait de certificats (CRL) et des directives prises en charge dans des serveurs globaux et des hôtes virtuels.
Le retrait de certificats fournit la possibilité de révoquer un certificat client donné à IBM HTTP Server par le navigateur quand la clé est compromise ou quand les droits d'accès à la clé sont révoqués. La CRL représente une base de données qui contient une liste de certificats révoqués avant la date d'expiration planifiée.
Si vous souhaitez activer le retrait de certificats dans IBM HTTP Server, publiez la CRL sur un serveur LDAP (Lightweight Directory Access Protocol). Une fois la CRL publiée sur un serveur LDAP, vous pouvez accéder à la CRL à l'aide du fichier de configuration d'IBM HTTP Server. La CRL détermine l'état des droits d'accès du certificat client requis.
Identification des directives requises pour la configuration d'une liste de retrait de certificats. La directive SSLClientAuth peut contenir deux options en même temps :
- SSLClientAuth 2 crl
- SSLClientAuth 1 crl
L'option CRL active et désactive la CRL dans un hôte virtuel SSL. Si vous spécifiez CRL en tant qu'option, vous choisissez d'activer la CRL. Si ne spécifiez pas cette option, la CRL reste désactivée. Si la première option pour SSLClientAuth est 0/none, vous ne pouvez pas utiliser la deuxième option, CRL. Si l'authentification client n'est pas activée, le traitement de la CRL n'a pas lieu.
Identification des directives prises en charge dans le serveur global et dans l'hôte virtuel. Le serveur global et l'hôte virtuel prennent en charge les directives ci-après :
- SLCRLHostname : l'hôte et l'adresse IP du serveur LDAP, sur lequel se trouve la base de données CRL.
- SSLCRLPort : port du serveur LDAP sur lequel se trouve la base de données CRL ; la valeur par défaut est égale à 389.
- SSLCRLUserID : ID utilisateur à envoyer au serveur LDAP sur lequel se trouve la base de données CRL ; la valeur par défaut est anonyme si vous n'indiquez pas de liaison.
- SSLStashfile : chemin qualifié complet d'accès au fichier sur lequel se trouve le mot de passe correspondant au nom d'utilisateur sur le serveur LDAP. Cette directive n'est pas requise pour une liaison anonyme. Utilisez-la lorsque vous indiquez un ID utilisateur.
Utilisez la commande sslstash, située dans le répertoire bin d'IBM HTTP Server, afin de créer votre fichier de stockage de mots de passe CRL. Le mot de passe indiqué à l'aide la commande sslstash
doit correspondre à celui que vous avez utilisé pour vous connecter au serveur LDAP.
Syntaxe : sslstash
[-c] <répertoire_du_fichier_des_mots_de_passe_et_nom_du_fichier> <nom_de_fonction> <mot_de_passe>
où :
- -c: crée un fichier de stockage. Si rien n'est indiqué, un fichier existant est mis à jour.
- Fichier : représente le nom complet du fichier à créer ou à mettre à jour.
- Fonction : indique la fonction pour laquelle utiliser le mot de passe.
Les valeurs valides sont crl, ou crypto.
- Mot de passe : représente le mot de passe à stocker.
La vérification CRL suit l'extension URIDistributionPoint X509 dans le certificat client
ainsi que l'essai du nom distinctif généré par l'émetteur du certificat client. Si le certificat contient un CDP (CRL Distribution Point), ces informations ont la priorité. Les informations sont utilisées dans l'ordre suivant :
- Nom CDP LDAP X.500
- CDP LDAP URI
- Nom de l'émetteur combiné à la valeur de la directive SSLCRLHostname