Abilitazione di CRL (Certificate Revocation List): IBM HTTP Server
Amministrazione del sistema Documentazione IBM HTTP Server

Abilitazione di un CRL (certificate revocation list) in SSL (Secure Sockets Layer)

In questa sezione vengono fornite informazioni sull'identificazione delle direttive per CRL (certificate revocation list) e quelle supportate sui server globali e sugli host virtuali. I collegamenti agli argomenti correlati vengono visualizzati alla fine di questa sezione.

Riservato agli utenti HP Riservato agli utenti Linux per S/390

Nota: i CRL (Certificate revocation list) non sono supportati nei sistemi operativi HP e Linux per S/390.

Se la chiave compromessa o se stata revocata l'autorizzazione di accesso alla chiave, la revoca dei certificati consente di revocare un certificato client fornito dal browser al server IHS. CRL un database che contiene un elenco di certificati revocati prima della loro data di scadenza programmata.

Se si desidera abilitare la revoca dei certificati in IBM HTTP Server, caricare il CRL su un server LDAP (Lightweight Directory Access Protocol). Dopo aver caricato il CRL su un server LDAP, possibile accedere al CRL utilizzando il file di configurazione IBM HTTP Server. Il CRL determina lo stato delle autorizzazioni di accesso del certificato del client richiesto.

Identificazione delle direttive necessarie per impostare CRL (certificate revocation list)

La direttiva SSLClientAuth pu avere contemporaneamente due opzioni:

  • SSLClientAuth 2 crl
  • SSLClientAuth 1 crl

L'opzione CRL, abilita o disabilita CRL all'interno di un host SSL virtuale. Se viene specificato crl come opzione, possibile scegliere di abilitare CRL. Se crl non viene specificato come opzione, rimane disabilitato. Se la prima opzione per SSLClientAuth 0/none, non possibile utilizzare la seconda opzione, crl. Se l'autenticazione client non abilitata, l'elaborazione di CRL non viene eseguita.

Identificazione delle direttive supportate sul server globale e sull'host virtuale

Il server globale e l'host virtuale supportano le seguenti direttive:

  • SSLCRLHostname: l'indirizzo IP e l'host del server LDAP in cui si trova il database CRL.
  • SSLCRLPort: la porta del server LDAP in cui si trova il database CRL; il valore predefinito 389.
  • SSLCRLUserID: l'ID utente da inviare al server LDAP in cui si trova il database CRL; il valore predefinito anonymous se non viene specificato il collegamento.
  • SSLStashfile: il percorso completo al file in cui si trova la password del nome utente sul server LDAP. Questa direttiva non obbligatoria per un collegamento anonimo. Da utilizzare quando viene specificato un ID utente. Utilizzare il comando sslstash, ubicato nella directory bin di IBM HTTP Server, per creare il file stash delle password CRL. La password specificata utilizzando il comando sslstash deve essere quella utilizzata per il collegamento al server LDAP.

    Uso: sslstash [-c] <directory al file di password e nome file> <nome funzione> <password>
    dove:

    • -c: crea un nuovo file stash. Se non specificato, viene aggiornato un file esistente.
    • File: indica il nome completo del file da creare o da aggiornare.
    • Funzione: indica la funzione per la quale utilizzare la password. I valori validi sono crl o crypto.
    • Password: indica la password da inserire nel file stash.
 
Informazioni correlate

     (Torna all'inizio)