En este apartado se proporciona información sobre la identificación de
directivas de la lista de revocación de certificados (CRL) y aquellas que están
soportadas en servidores globales y hosts virtuales.
La revocación de certificados ofrece la posibilidad de revocar un certificado de
cliente que el navegador proporciona a IBM HTTP Server cuando se compromete la clave o
cuando se revoca el permiso de acceso a la clave. CRL representa una base de datos
que contiene una lista de certificados revocados antes de su fecha de caducidad
planificada.
Si desea habilitar la revocación de certificados en
IBM HTTP Server, publique la
CRL en un servidor LDAP (Lightweight Directory Access Protocol). Una vez publicada
la CRL en un servidor LDAP, puede acceder a la CRL utilizando el archivo de
configuración de IBM HTTP Server. La CRL determina el estado de permiso de acceso
del certificado de cliente solicitado.
Identificación de las directivas necesarias para configurar una lista
de revocación de certificados. La directiva SSLClientAuth puede incluir dos
opciones a la vez:
- SSLClientAuth 2 crl
- SSLClientAuth 1 crl
La opción CRL activa y desactiva la CRL dentro de un host virtual
SSL. Si especifica CRL como una opción, se activa la CRL. Si no especifica CRL
como una opción, la CRL permanece desactivada. Si la primera opción de SSLClientAuth
es igual a 0/none, no puede utilizar la segunda opción, CRL. Si no tiene activada la
autenticación de cliente, el proceso de CRL no se realiza.
Identificación de las directivas soportadas en el host
virtual y el servidor global. El host virtual y el servidor
global dan soporte a las siguientes directivas:
- SSLCRLHostname: la dirección IP y el host del servidor LDAP, donde
reside la base de datos de CRL.
- SSLCRLPort: el puerto del servidor LDAP donde reside la base de datos de
LDAP; el valor predeterminado es 389.
- SSLCRLUserID: el ID de usuario que se envía al servidor LDAP donde reside la
base de datos de CRL; si no especifica el enlace, toma el valor predeterminado
anónimo.
- SSLStashfile: la vía plenamente cualificada del archivo donde reside la
contraseña del nombre de usuario en el servidor LDAP. Esta directiva no es
necesaria para un enlace anónimo. Utilícela cuando especifique un ID de
usuario.
Utilice el mandato sslstash, que se encuentra en el directorio
bin de IBM HTTP Server, para crear el archivo stash de contraseña de CRL. La
contraseña que se especifica utilizando el mandato sslstash debe ser igual a
la que se utiliza para conectarse al servidor LDAP.
Utilización: sslstash
[-c] <directorio_de_archivo_contraseña_y_nombre_archivo> <nombre_función>
<contraseña>
donde:
- -c: crea un nuevo archivo stash. Si no se especifica, se actualiza un
archivo existente.
- Archivo: representa el nombre plenamente cualificado del archivo
que se crea o se actualiza.
- Función: indica la función para la que se utiliza la contraseña.
Los
valores válidos son crl o crypto.
- Contraseña: representa la contraseña que se oculta.
La comprobación de CRL sigue a la extensión X509 de URIDistributionPoint en el
certificado de cliente así como la prueba del DN creado desde el emisor
del certificado de cliente. Si el certificado contiene un CDP (Punto de distribución de CRL), se da prioridad a esa
información. El orden en el que se utiliza la información
es la siguiente:
- Nombre LDAP X.500 de CDP
- URI LDAP de CDP
- Nombre de emisor combinado con el valor de la directiva SSLCRLHostname