[AIX Solaris HP-UX Linux Windows][z/OS]

SSL 인증서 폐기 목록

이 절에서는 인증서 폐기 목록(CRL)의 지시문 및 글로벌 서버와 가상 호스트에서 지원되는 지시문을 식별하는 방법에 대해 설명합니다.

인증서 폐기는 키가 손상되거나 키에 대한 액세스 권한이 취소될 경우 브라우저에 의해 IBM® HTTP Server에 제공되는 클라이언트 인증서를 폐기하는 기능을 제공합니다. CRL은 스케줄된 만기 날짜 전에 폐기된 인증서 목록을 포함하는 데이터베이스를 나타냅니다.

IBM HTTP Server에서 인증서 폐기를 사용하려면 LDAP(Lightweight Directory Access Protocol) 서버에서 CRL을 공개하십시오. CRL이 LDAP 서버에 공개되면 IBM HTTP Server 구성 파일을 사용하여 CRL에 액세스할 수 있습니다. CRL은 요청된 클라이언트 인증서의 액세스 권한 상태를 판별합니다. 그러나 폐기 데이터 소스인 백엔드 서버를 사용할 수 없거나 IBM HTTP Server와 올바르게 통신하지 않으면 클라이언트 인증서의 폐기 상태를 판별하지 못할 수도 있습니다.

인증서 폐기 목록을 설정하는 데 필요한 지시문 식별. SSLClientAuth 지시문에는 한 번에 다음 두 가지 옵션이 포함될 수 있습니다.

CRL 옵션은 SSL 가상 호스트 내에서 CRL을 설정하거나 해제합니다. CRL을 옵션으로 지정하면 CRL이 설정됩니다. CRL을 옵션으로 지정하지 않으면 CRL이 해제된 상태로 남습니다. SSLClientAuth의 첫 번째 옵션이 0/none이면 두 번째 옵션인 CRL을 사용할 수 없습니다. 클라이언트 인증을 설정하지 않으면 CRL 처리가 수행되지 않습니다.

글로벌 서버 및 가상 호스트에서 지원되는 지시문 식별. 글로벌 서버 및 가상 호스트는 다음 지시문을 지원합니다.
CRL 검사는 클라이언트 인증서의 URIDistributionPoint X509 확장 다음에 수행되며 클라이언트 인증 발행자로부터 구성된 DN 검사도 수행됩니다. 인증에 CDP(CRL Distribution Point)가 포함되어 있으면 해당 정보의 우선순위가 높습니다. 정보 사용 순서는 다음과 같습니다.
  1. CDP LDAP X.500 이름
  2. CDP LDAP URI
  3. SSLCRLHostname 지시문에 있는 값과 결합된 발행자 이름
문제점 방지 문제점 방지: 인증이 CertificateDistributionPoint 또는 AIA 확장의 LDAP 또는 HTTP URI 양식을 사용하는 경우 IBM HTTP Server 시스템이 이러한 유형의 출력 연결을 설정할 수 있습니다. 이 경우 방화벽의 설정을 조정해야 합니다.gotcha
개념 주제    

Information Center에 대한 이용 약관 | 피드백

마지막 업데이트 날짜: October 20, 2014 04:25 PM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=cihs_crlinssl
파일 이름: cihs_crlinssl.html