En este apartado se proporciona información sobre la identificación de
directivas de la lista de revocación de certificados (CRL) y aquellas que están
soportadas en servidores globales y hosts virtuales.
La revocación de certificados ofrece la posibilidad de revocar un
certificado de cliente que el navegador proporciona a IBM® HTTP Server
cuando se compromete la clave o cuando se revoca el permiso de acceso a la
clave. CRL representa una base de datos
que contiene una lista de certificados revocados antes de su fecha de caducidad
planificada.
Si desea habilitar la revocación de certificados en IBM HTTP Server,
publique la CRL en un servidor LDAP (Lightweight Directory Access
Protocol). Una vez publicada la CRL en un servidor LDAP, puede acceder a
la CRL utilizando el archivo de configuración de IBM HTTP Server. La CRL determina el estado de permiso de acceso
del certificado de cliente solicitado. Tenga en cuenta, sin embargo, que
no siempre es posible determinar el estado de revocación de un
certificado de cliente si el servidor de fondo, el origen de datos de
revocación, no está disponible o no se comunica correctamente con IBM HTTP
Server.
Identificación de las directivas necesarias para configurar una lista
de revocación de certificados. La directiva SSLClientAuth puede incluir dos
opciones a la vez:
- SSLClientAuth 2 crl
- SSLClientAuth 1 crl
La opción CRL activa y desactiva la CRL dentro de un host virtual
SSL.
Si especifica CRL como una opción, se activa la CRL. Si no especifica CRL
como una opción, la CRL permanece desactivada. Si la primera opción de SSLClientAuth
es igual a 0/none, no puede utilizar la segunda opción, CRL. Si no tiene activada la
autenticación de cliente, el proceso de CRL no se realiza.
Identificación de las directivas soportadas en el host
virtual y el servidor global. El host virtual y el servidor
global dan soporte a las siguientes directivas:
- SSLCRLHostname: la dirección IP y el host del servidor LDAP, donde
reside la base de datos de CRL. Actualmente, debe configurar
cualquier repositorio CRL estático para permitir la comprobación de
otros formularios URI en los campos CRLDistributionPoint.
Sólo se puede consultar el CRL a un servidor LDAP configurado
explícitamente, y el reconocimiento SSL falla si no se puede alcanzar el
servidor de fondo.
- SSLCRLPort: el puerto del servidor LDAP donde reside la base de datos de
LDAP; el valor predeterminado es 389.
- SSLCRLUserID: el ID de usuario que se envía al servidor LDAP donde reside la
base de datos de CRL; si no especifica el enlace, toma el valor predeterminado
anónimo.
- SSLStashfile: la vía plenamente cualificada del archivo donde reside la
contraseña del nombre de usuario en el servidor LDAP. Esta directiva no es
necesaria para un enlace anónimo. Utilícela cuando especifique un ID de
usuario.
Utilice el mandato sslstash, que se encuentra en el
directorio bin de
IBM
HTTP Server, para crear el archivo stash de contraseña de CRL. La
contraseña que se especifica utilizando el mandato sslstash debe ser igual a
la que se utiliza para conectarse al servidor LDAP.
Uso:
sslstash [-c] <directorio_de_archivo_contraseña_y_nombre_archivo> <nombre_función> <contraseña>
donde:
- -c: crea un nuevo archivo stash. Si no se especifica, se actualiza un
archivo existente.
- Archivo: representa el nombre plenamente cualificado del archivo
que se crea o se actualiza.
- Función: indica la función para la que se utiliza la contraseña.
Los
valores válidos son crl o crypto.
- Contraseña: representa la contraseña que se oculta.
SSLUnknownRevocationStatus: Esta directiva permite
configurar cómo responderá IBM HTTP Server cuando no esté disponible
información fresca de lista de revocación de certificados (CRL) o
de protocolo de estado de certificados en línea (OCSP), y no se tiene
constancia de que el certificado de
cliente que se ofrece actualmente se haya revocado a
partir de una consulta anterior. De forma predeterminada, se supone que
los certificados no se han revocado, lo que significa que son válidos, y
una anomalía temporal para obtener información de CRL u OCSP no resulta automáticamente
en un error de reconocimiento SSL. Esta directiva se proporciona para
responder a las circunstancias en las que se ha aceptado un certificado
sin que
IBM HTTP Server haya podido confirmar de forma fiable el estado de
revocación. Esta directiva sólo tiene efecto cuando se cumplen todas
estas condiciones:
- IBM HTTP Server está configurado para aceptar certificados de cliente
con la directiva SSLClientAuth.
- IBM HTTP Server está configurado con una de las siguientes directivas:
SSLOCSPEnable, SSLOCSPUrl o SSLCRLHostname.
- Se proporciona un certificado de cliente SSL.
- IBM HTTP Server no recibe una respuesta OCSP o CRL válida del servidor
de fondo configurado, y el certificado de cliente no aparece como
revocado en una respuesta CRL almacenada en memoria caché, pero caducada.
IBM HTTP Server utiliza un CRL almacenado en memoria caché que
haya caducado, cuando no hay disponible una versión actual. Cuando un
certificado se ha revocado en un CRL caducado, el resultado será un error
en el reconocimiento SSL directo que está
fuera del ámbito de la
directiva SSLUnknownRevocationStatus.
Consulte el tema
Directivas SSL para
obtener más información.
La comprobación de CRL sigue a la extensión X509 de URIDistributionPoint en el
certificado de cliente así como la prueba del DN creado desde el emisor
del certificado de cliente. Si el certificado contiene un CDP (Punto de distribución de CRL), se da prioridad a esa
información.
El orden en el que se utiliza la información
es la siguiente:
- Nombre LDAP X.500 de CDP
- URI LDAP de CDP
- Nombre de emisor combinado con el valor de la directiva SSLCRLHostname
Evite problemas: Si los certificados utilizan
los formularios LDAP o HTTP URI de las extensiones
CertificateDistributionPoint o AIA, asegúrese de que el sistema IBM HTTP
Server puede establecer conexiones de salida de este tipo; es posible que
tenga que ajustar
los valores del cortafuegos.
gotcha