セキュア・ソケット・レイヤーの証明書取り消しリストを使用可能にする (Enabling a certificate revocation list in Secure Sockets Layer)
このセクションには、証明書取り消しリスト (CRL) のディレクティブに関する情報と、グローバル・サーバーおよび仮想ホストでサポートされるものに関する情報があります。 このセクションの終わりに、関連トピックへのリンクがあります。
証明書取り消しリストは、
HP および Linux for S/390 オペレーティング・システム上ではサポートされていません。
鍵が無効なった場合、あるいはその鍵に対するアクセス許可が取り消された場合には、証明書取り消しの機能で、ブラウザーが IHS サーバーに提供したクライアント証明書を取り消すことができます。 CRL は、スケジュールされた有効期限の前に取り消された証明書のリストが入っているデータベースを表します。
IBM HTTP Server で証明書の失効を可能にしたい場合は、 その CRL を Lightweight Directory Access Protocol (LDAP) サーバーにパブリッシュしてください。 CRL が LDAP サーバーに対してパブリッシュされると、IBM HTTP Server 構成ファイルを 使用して CRL にアクセスすることができます。CRL は、要求されたクライアント証明書の アクセス許可状況を判別します。
証明書取り消しリストの設定に必要なディレクティブ
SSLClientAuth ディレクティブには、同時に以下の 2 つのオプションを組み込むことができます。
- SSLClientAuth 2 crl
- SSLClientAuth 1 crl
CRL オプションは、仮想ホスト内で CRL のオン/オフを切り替えます。 crl をオプションとして指定すると、CRL はオンになります。 crl をオプションとして指定しない場合は、CRL はオフのままになります。 SSLClientAuth の最初のオプションが 0/none の場合には、2 番目のオプションで crl は使用できません。 クライアント認証をオンにしていない場合は、CRL 処理は発生しません。
グローバル・サーバーおよび仮想ホストでサポートされるディレクティブ
グローバル・サーバーおよび仮想ホストは次のディレクティブをサポートします。
- SSLCRLHostname: LDAP サーバーの IP アドレスとホスト。ここに CRL データベースが置かれます。
- SSLCRLPort: CRL データベースがある LDAP サーバーのポート; デフォルトは 389 です。
- SSLCRLUserID: CRL データベースがある LDAP に送信するためのユーザー ID。バインドを指定しない場合は、デフォルトで無名になります。
- SSLStashfile: LDAP サーバーでユーザー名のパスワードが入っているファイルへの完全修飾パス。
このディレクティブは、無名のバインドには必要ではありません。ユーザー ID を指定した場合に使用します。
IBM HTTP Server の bin ディレクトリーにある sslstash コマンドを使用して、
CRL パスワード・スタッシュ (隠蔽) ファイルを作成してください。
sslstash コマンドを使用して指定するパスワードは、LDAP サーバーへのログインに使用するものと
同じものである必要があります。
使用法: sslstash [-c] <directory to password file and file name> <function name> <password>
オプション:- -c: 新規の stash ファイルを作成します。これが指定されないと、既存のファイルが更新されます。
- File: 作成または更新するファイルの完全修飾名を示します。
- Function: パスワードを使用する対象の機能を示します。有効な値には、crl または crypto があります。
- Password: 隠しておくバスワードを示します。
| 関連情報 |
(トップに戻る)