Activation d'une liste de retrait de certificats (CRL) dans SSL

Cette section décrit les directives nécessaires à l'utilisation d'une liste de retrait de certificats (CRL) et celles qui sont admises dans la portée Global et dans les sections d'hôtes virtuels. La fin de cette section comprend des liens aux rubriques connexes.

• Directives nécessaires à la configuration d'une liste de retrait de certificats
• Directives admises dans la portée Global et dans les sections d'hôte virtuel
• Informations connexes

Le retrait de certificats offre la possibilité de "révoquer" un certificat de client fourni au serveur IBM HTTP Server par le navigateur de l'utilisateur, lorsque la clé est compromise ou si les droits d'accès octroyés à cette clé ont été révoqués. CRL est une base de données qui contient la liste des certificats qui ont été révoqués avant leur date d'expiration prévue.

Si vous souhaitez activer la fonction de retrait de certificats dans IBM HTTP Server, publiez la liste CRL sur un serveur LDAP (Lightweight Directory Access Protocol). Cela fait, vous pouvez y accéder en utilisant le fichier de configuration d'IBM HTTP Server. La liste CRL sera consultée pour déterminer si un certificat de client demandé a été révoqué.

Directives nécessaires à la configuration d'une liste de retrait de certificats

La directive SSLClientAuth peut inclure deux options :

• SSLClientAuth 2 crl
• SSLClientAuth 1 crl

L'option CRL active ou désactive la fonction CRL à l'intérieur d'un hôte virtuel SSL particulier. Si vous spécifiez crl comme option, la fonction CRL sera activée. Si crl n'est pas spécifié, la fonction CRL restera désactivée. Si la première option de la directive SSLClientAuth est 0/none, vous ne pouvez pas utiliser la seconde option, crl. Si l'authentification du client n'est pas activée, le traitement de la fonction CRL n'a pas lieu.

Directives admises dans la portée Global et dans les sections d'hôte virtuel

Les directives suivantes sont acceptées au niveau global du serveur ainsi que dans les sections d'hôtes virtuels :

• SSLCRLHostname : Adresse IP/Nom d'hôte du serveur LDAP où réside la base de données CRL.
• SSLCRLPort : Port du serveur LDAP où réside la base de données CRL ; la valeur par défaut est 389.
• SSLCRLUserID : ID utilisateur à envoyer au serveur LDAP où réside la base de données CRL ; la valeur par défaut est "anonymous" si aucune liaison (bind) n'est spécifiée.
• SSLStashfile : Nom qualifié complet du fichier dans lequel est conservé le mot de passe d'accès au serveur LDAP où réside la base de données CRL. Cette directive n'est pas nécessaire en cas de liaison anonyme. Utilisez-la seulement si un ID utilisateur est spécifié explicitement par la directive SSLCRLUserID. Utilisez la commande sslstash, située dans le répertoire bin d'IBM HTTP Server, pour créer votre fichier de dissimulation du mot de passe d'accès à la base de données CRL. Le mot de passe à spécifier dans la syntaxe de cette commande doit être celui que vous utilisez pour vous connecter à votre serveur LDAP.

  Syntaxe : sslstash [-c] <fichier> <fonction> <mot_de_passe>
  où :

  • -c : Crée un nouveau fichier de dissimulation. Si cette option n'est pas spécifiée, la commande modifie un fichier de dissimulation existant.
  • fichier : Représente le nom qualifié complet du fichier à créer ou à modifier.
  • fonction : Indique la fonction pour laquelle utiliser le mot de passe. Les valeurs admises sont crl et crypto.
  • mot_de_passe : Représente le mot de passe à dissimuler dans le fichier.

     (Retour au début)