[AIX Solaris HP-UX Linux Windows][z/OS]

SSL 証明書失効リスト

このセクションでは、証明書失効リスト (CRL) のディレクティブおよびグローバル・サーバーと仮想ホストでサポートされているディレクティブの識別に関する情報を提供します。

証明書の失効には、キー漏えいが発生したか、キーへのアクセス権が取り消された場合に、ブラウザーにより IBM® HTTP Server に対して与えられたクライアント証明書を取り消す機能が備えられています。 CRL は、予定された有効期限前に取り消された証明書のリストを含むデータベースを表します。

IBM HTTP Server の証明書の失効を使用可能にする場合は、Lightweight Directory Access Protocol (LDAP) サーバーで CRL を発行します。LDAP サーバーで CRL を発行すると、IBM HTTP Server 構成ファイルを使用して CRL にアクセスすることができます。CRL は、要求されたクライアント証明書のアクセス権状況を決定します。ただし、失効データが存在するバックエンド・サーバーが 利用できない、または IBM HTTP Server と適切に通信していない場合は、クライアント証明書の 失効状況を常に決定できるわけではないことに 注意してください。

証明書失効リストをセットアップするのに必要なディレクティブの識別。SSLClientAuth ディレクティブは一度に 2 つのオプションを含むことができます。

CRL オプションは、SSL 仮想ホスト内で CRL をオン/オフにします。 CRL をオプションとして指定する場合、CRL をオンにします。CRL をオプションとして指定しない場合、CRL はオフのままです。SSLClientAuth の最初のオプションが 0/なしの場合、2 番目のオプション CRL を使用することはできません。クライアント認証をオンにしない場合、CRL 処理は行われません。

グローバルまたはサーバーおよび仮想ホストでサポートされているディレクティブの識別。グローバル・サーバーおよび仮想ホストは以下のディレクティブをサポートしています。
CRL 検査は、クライアント証明書の URIDistributionPoint X509 機能拡張に従います。 また、クライアント証明書の発行者によって構成された DN を試行します。証明書に CRL Distribution Point (CDP) が含まれる場合は、その情報が優先されます。 情報が使用される順序は以下のとおりです。
  1. CDP LDAP X.500 の名前
  2. CDP LDAP URI
  3. SSLCRLHostname ディレクティブの値が結合された発行者の名前
トラブルの回避 トラブルの回避: 証明書 で CertificateDistributionPoint または AIA 拡張に LDAP または HTTP URI フォーム を使用している場合、IBM HTTP Server システムがこの種類の外部への接続を確実に確立 できるようにしてください。ファイアウォールの設定を調整する 必要がある場合があります。gotcha
概念トピック    

インフォメーション・センターに関するご使用条件 | フィードバック

最終更新: October 08, 2014 06:19 PM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=cihs_crlinssl
ファイル名: cihs_crlinssl.html