이 절에서는 인증서 폐기
목록(CRL)의 지시문 및 글로벌 서버와 가상 호스트에서
지원되는 지시문을 식별하는 방법에 대해 설명합니다.
인증서 폐기는
키가 손상되거나 키에 대한 액세스 권한이 취소될 경우 브라우저에 의해
IBM® HTTP
Server에 제공되는 클라이언트 인증서를 폐기하는 기능을 제공합니다. CRL은
스케줄된 만기 날짜 전에 폐기된 인증서 목록을 포함하는 데이터베이스를 나타냅니다.
IBM HTTP
Server에서 인증서 폐기를 사용하려면 LDAP(Lightweight Directory Access Protocol)
서버에서 CRL을 공개하십시오. CRL이 LDAP 서버에 공개되면
IBM HTTP Server 구성 파일을 사용하여 CRL에 액세스할 수 있습니다.
CRL은 요청된 클라이언트 인증서의 액세스 권한 상태를
판별합니다. 그러나 폐기 데이터 소스인 백엔드
서버를 사용할 수 없거나 IBM HTTP Server와
올바르게 통신하지 않으면 클라이언트 인증서의
폐기 상태를 판별하지 못할 수도 있습니다.
인증서 폐기 목록을 설정하는 데 필요한 지시문
식별. SSLClientAuth 지시문에는 한 번에 다음 두 가지 옵션이 포함될 수 있습니다.
- SSLClientAuth 2 crl
- SSLClientAuth 1 crl
CRL 옵션은 SSL 가상 호스트 내에서 CRL을 설정하거나 해제합니다.
CRL을 옵션으로 지정하면 CRL이 설정됩니다. CRL을 옵션으로
지정하지 않으면 CRL이 해제된 상태로 남습니다. SSLClientAuth의
첫 번째 옵션이 0/none이면 두 번째 옵션인 CRL을 사용할 수 없습니다. 클라이언트 인증을 설정하지
않으면 CRL 처리가 수행되지 않습니다.
글로벌 서버 및 가상 호스트에서 지원되는 지시문
식별. 글로벌 서버 및 가상 호스트는 다음 지시문을 지원합니다.
- SSLCRLHostname: CRL 데이터베이스가 위치하는 LDAP 서버의 IP 주소
및 호스트. 현재 정적 CRL 저장소가
CRLDistributionPoint 필드에서 다른 URI 양식 검사를
허용하도록 구성해야 합니다.
명시적으로
구성된 LDAP 서버만 CRL을 조회할 수 있으며 백엔드
서버에 도달할 수 없으면 SSL 핸드쉐이크가 실패합니다.
- SSLCRLPort: CRL 데이터베이스가 상주하는
LDAP 서버의 포트. 기본값은 389입니다.
- SSLCRLUserID: CRL 데이터베이스가 상주하는
LDAP 서버로 보낼 사용자 ID 바인드를 지정하지
않는 경우 기본값은 anonymous입니다.
- SSLStashfile: LDAP 서버에서 사용자 이름의 비밀번호가
있는 파일의 완전한 경로. 익명 바인드에는 이 지시문이
필요하지 않습니다. 사용자 ID를 지정할 때 사용하십시오.
IBM
HTTP Server의 bin 디렉토리에 있는 sslstash 명령을
사용하여 CRL 비밀번호 숨기 파일을 작성하십시오.
sslstash 명령을 사용하여 지정하는 비밀번호는 LDAP 서버에 로그인할 때 사용하는
비밀번호와 같아야 합니다.
사용법:
sslstash [-c] <directory_to_password_file_and_file_name> <function_name> <password>
여기서
- -c: 새 숨김 파일을 작성합니다. 지정하지 않으면 기존 파일이 업데이트됩니다.
- File: 작성 또는
업데이트할 파일의 완전한 이름을 나타냅니다.
- Function: 비밀번호를 사용할 기능을 나타냅니다.
올바른 값은 crl 또는 crypto입니다.
- Password: 숨길 비밀번호를 나타냅니다.
SSLUnknownRevocationStatus: 이
지시문을 사용하면 새 인증서 폐기
목록(CRL) 정보 또는 온라인 인증 상태 프로토콜(OCSP)
정보를 사용할 수 없고, 현재 제공되는 클라이언트 인증서가
이전 조회에서 폐기되기 않는 것이 알려지지 않는 경우,
IBM HTTP Server가 응답하는 방법을
구성할 수 있게 합니다. 인증서는 기본적으로 폐기되지 않는 것으로 가정합니다.
이는 인증서가 유효하며 CRL 또는 OCSP 정보를 일시적으로 얻지
못한다고 해서 SSL 핸드쉐이크가 자동으로 실패하지는 않음을 의미합니다.
이 지시문은 IBM HTTP Server가 폐기 상태를 확실하게
확인하지 못하더라도 인증서를 승인한 환경에 응답하기
위해 제공됩니다. 이 지시문은 다음
조건이 모두 참인 경우에만 유효합니다.
자세한 정보는 SSL 지시문 주제를 참조하십시오.
CRL 검사는 클라이언트 인증서의 URIDistributionPoint X509
확장 다음에 수행되며 클라이언트 인증 발행자로부터 구성된
DN 검사도 수행됩니다. 인증에 CDP(CRL Distribution Point)가
포함되어 있으면 해당 정보의 우선순위가 높습니다.
정보 사용 순서는 다음과 같습니다.
- CDP LDAP X.500 이름
- CDP LDAP URI
- SSLCRLHostname 지시문에 있는 값과 결합된 발행자 이름
문제점 방지: 인증이
CertificateDistributionPoint 또는 AIA 확장의 LDAP
또는 HTTP URI 양식을 사용하는 경우 IBM HTTP Server
시스템이 이러한 유형의 출력 연결을 설정할 수 있습니다. 이 경우 방화벽의 설정을 조정해야 합니다.
gotcha