[AIX Solaris HP-UX Linux Windows][z/OS]

Liste de révocation de certificat SSL

La présente section fournit des informations sur l'identification des directives de la liste de retrait de certificats (CRL) et des directives prises en charge dans des serveurs globaux et des hôtes virtuels.

Le retrait de certificats permet de révoquer un certificat client donné à IBM® HTTP Server par le navigateur quand la clé est compromise ou quand les droits d'accès à la clé sont révoqués. La CRL représente une base de données qui contient une liste de certificats révoqués avant la date d'expiration planifiée.

Si vous souhaitez activer le retrait de certificats dans IBM HTTP Server, publiez la liste de révocation de certificat (CRL) sur un serveur LDAP (Lightweight Directory Access Protocol). Une fois cette liste publiée sur un serveur LDAP, vous pouvez y accéder à l'aide du fichier de configuration d'IBM HTTP Server. La CRL détermine l'état des droits d'accès du certificat client requis. Sachez cependant qu'il n'est pas toujours possible de déterminer l'état de révocation d'un certificat client si le serveur dorsal, qui est la source des données de révocation, n'est pas disponible ou ne communique pas correctement avec IBM HTTP Server.

Identification des directives requises pour la configuration d'une liste de retrait de certificats. La directive SSLClientAuth peut contenir deux options en même temps :

L'option CRL active et désactive la CRL dans un hôte virtuel SSL. Si vous spécifiez CRL en tant qu'option, vous choisissez d'activer la CRL. Si ne spécifiez pas cette option, la CRL reste désactivée. Si la première option pour SSLClientAuth est 0/none, vous ne pouvez pas utiliser la deuxième option, CRL. Si l'authentification client n'est pas activée, le traitement de la CRL n'a pas lieu.

Identification des directives prises en charge dans le serveur global et dans l'hôte virtuel. Le serveur global et l'hôte virtuel prennent en charge les directives ci-après :
La vérification CRL suit l'extension URIDistributionPoint X509 dans le certificat client ainsi que l'essai du nom distinctif généré par l'émetteur du certificat client. Si le certificat contient un CDP (CRL Distribution Point), ces informations ont la priorité. Les informations sont utilisées dans l'ordre suivant :
  1. Nom CDP LDAP X.500
  2. CDP LDAP URI
  3. Nom de l'émetteur combiné à la valeur de la directive SSLCRLHostname
Eviter les incidents Eviter les incidents : Si les certificats utilisent les formats d'URI LDAP ou HTTP de CertificateDistributionPoint ou des extensions AIA, veillez à ce que le système IBM HTTP Server puisse établir des connexions sortantes de ce type. Il peut s'avérer nécessaire d'ajuster les paramètres du pare-feu.gotcha
Rubrique de concept    

Dispositions pour les centres de documentation | Commentaires

Dernière mise à jour : October 09, 2014 04:36 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=cihs_crlinssl
Nom du fichier : cihs_crlinssl.html