啟用安全 Socket 層中的憑證廢止清冊
這一節提供如何識別憑證廢止清冊 (CRL) 的指引及廣域伺服器和虛擬主電腦所支援的指引的相關資訊。 這一節的結尾有相關主題的鏈結。
HP 與 Linux for S/390 作業系統不支援憑證廢止清冊。
憑證廢止提供在金鑰有風險時,或在金鑰存取權被取消時,將瀏覽器提供給 IHS 伺服器的用戶端憑證取消的能力。 CRL 代表含有在排定到期日之前廢除的憑證清單的資料庫。
如果您要在 IBM HTTP Server 中啟用憑證廢止,請將 CRL 發佈在輕裝備目錄存取通訊協定 (LDAP) 伺服器中。 將 CRL 發佈在 LDAP 伺服器之後,您就可以利用 IBM HTTP Server 配置檔來存取這個 CRL。 CRL 會決定要求的用戶端憑證的存取權狀態。
識別設定憑證廢止清冊所需要的指引
SSLClientAuth 指引可同時含有兩個選項:
- SSLClientAuth 2 crl
- SSLClientAuth 1 crl
CRL 選項會在 SSL 虛擬主電腦內開啟或關閉 CRL。 如果您在選項中指定 crl,您會選擇開啟 CRL。 如果您沒有在選項中指定 crl,CRL 會保持關閉狀態。 如果 SSLClientAuth 的第一個選項是 0/無,您就無法使用第二個選項 crl。 如果您沒有開啟用戶端鑑別,就不會處理 CRL。
識別廣域伺服器和虛擬主電腦所支援的指引
廣域伺服器和虛擬主電腦支援下列指引:
- SSLCRLHostname:CRL 資料庫所在 LDAP 伺服器的 IP 位址和主電腦。
- SSLCRLPort:CRL 資料庫所在 LDAP 伺服器的埠;預設值等於 389。
- SSLCRLUserID:要送往 CRL 資料庫所在 LDAP 伺服器的使用者 ID;如果沒有指定連結,預設值就是匿名。
- SSLStashfile:LDAP 伺服器中的使用者名稱之密碼所在檔案的完整路徑。匿名連結不需要這個指引。當指定使用者 ID 時,請使用這個指引。
請利用 IBM HTTP Server bin 目錄中的 sslstash 指令來建立您的 CRL 密碼貯藏檔。
您利用 sslstash 指令指定的密碼應該等於您登入 LDAP 伺服器時所用的密碼。
用法:sslstash [-c] <密碼檔的目錄與檔案名稱> <函數名稱> <密碼>
其中:- -c:建立新貯藏檔。如果沒有指定,就會更新現有的檔案。
- 檔案:代表要建立或更新的檔案的完整名稱。
- 函數:指出密碼要用的函數。有效值包括 crl 或 crypto。
- 密碼:代表要貯藏的密碼。
| 尋找相關資訊 |
(回到頁首)