[z/OS][AIX Solaris HP-UX Linux Windows]

Liste de révocation de certificat SSL et protocole OCSP

Cette rubrique décrit comment configurer la vérification des révocations de certificat pour tous les certificats client. La liste de révocation de certificat (CRL) est une fonction obsolète. Vous pouvez utiliser le protocole OCSP (Online Certificate Status Protocol) avec les certificats TLS.

Fonction obsolète: la liste de révocation de certificat (CRL) est une fonction obsolète. Utilisez le protocole OCSP (Online Certificate Status Protocol) avec des certificats TLS.
La révocation de certificat permet de révoquer un certificat client qui est donné à IBM® HTTP Server par le navigateur lorsque la clé est compromise ou lorsque les droits d'accès à la clé sont révoqués. Les deux protocoles suivants effectuent une vérification des révocations.
Liste de révocation de certificat (CRL), (obsolète)
Base de données contenant une liste de certificats révoqués avant leur date d'expiration planifiée.
Protocole OCSP (Online Certificate Status Protocol)
Service HTTP utilisé pour vérifier si un certificat donné a été révoqué avant la date d'expiration planifiée.

Si vous souhaitez activer le retrait de certificats dans IBM HTTP Server, publiez la CRL sur un serveur LDAP (Lightweight Directory Access Protocol). Une fois la CRL publiée sur un serveur LDAP, vous pouvez accéder à la CRL à l'aide du fichier de configuration d'IBM HTTP Server. La CRL détermine l'état des droits d'accès du certificat client requis. Sachez cependant qu'il n'est pas toujours possible de déterminer l'état de révocation d'un certificat client si le serveur dorsal, qui est la source des données de révocation, n'est pas disponible ou ne communique pas correctement avec IBM HTTP Server.

L'option CRL active et désactive la liste CRL dans un hôte virtuel SSL. Si vous spécifiez CRL en tant qu'option, vous choisissez d'activer la liste CRL. Si ne spécifiez pas cette option, la liste CRL reste désactivée. Si la première option pour SSLClientAuth est 0/none, vous ne pouvez pas utiliser la deuxième option, CRL. Si l'authentification client n'est pas activée, le traitement de la liste CRL n'a pas lieu.

Les informations de révocation de certification sont fournies par les différentes sources suivantes :
  • Un administrateur de serveur Web peut agréger les informations de révocation à partir de sources multiples et configurer cet emplacement de manière explicite.
    • Pour le protocole OCSP, la directive SSLOCSPResponderURL configure cette source.
    • Pour la liste CRL, la directive SSLCRLHostname et l'argument facultatif crl sur la directive SSLClientAuth configure cette source.
  • Une autorité de certification peut imbriquer la source faisant autorité des informations de révocation dans chaque certificat qu'elle émet.
    • Pour la liste CRL, cette source est uniquement utilisée quand la source configurée de manière explicite est configurée.
    • Pour le protocole OCSP, la directive SSLOCSPEnable configure le traitement de ces sources.
    Eviter les problèmes: Il n'est pas toujours possible de déterminer le statut de révocation d'un certificat client si le serveur dorsal, la source des données de révocation, n'est pas disponible ou ne communique pas correctement avec IBM HTTP Server. Voir la directive "SSLUnknownRevocationStatus" pour configurer le comportement du serveur dans ce type d'événement.
    Eviter les problèmes: Si vos certificats utilisent les formes d'URI LDAP ou HTTP du point CertificateDistributionou des extensions AIA, assurez-vous que le système IBM HTTP Server peut établir des connexions sortantes de ce type ; vous devrez peut-être ajuster les paramètres de votre pare-feu.

Identification de directives spécifiques à la liste CRL et prises en charge globalement ou sur le serveur et l'hôte virtuel

Pour plus d'informations sur la configuration d'OCSP, voir les directives SSL (Secure Sockets Layer) . Le serveur global et l'hôte virtuel prennent en charge les directives ci-après :
  • SSLCRLHostname : hôte et adresse IP du serveur LDAP, sur lequel se trouve la base de données CRL. Vous devez actuellement configurer les référentiels CRL statiques pour autoriser la vérification d'autres formats d'URI dans les zones CRLDistributionPoint.

    [z/OS]Une demande de liste de révocation de certificat ne peut être soumise qu'à un serveur LDAP configuré de manière explicite et l'établissement de liaison SSL échoue si le serveur dorsal n'est pas accessible.

  • SSLCRLPort : port du serveur LDAP sur lequel se trouve la base de données CRL ; la valeur par défaut est égale à 389.
  • SSLCRLUserID : ID utilisateur à envoyer au serveur LDAP sur lequel se trouve la base de données CRL ; la valeur par défaut est anonyme si vous n'indiquez pas de liaison.
  • SSLStashfile : chemin qualifié complet d'accès au fichier sur lequel se trouve le mot de passe correspondant au nom d'utilisateur sur le serveur LDAP. Cette directive n'est pas requise pour une liaison anonyme. Utilisez-la lorsque vous indiquez un ID utilisateur.

    Utilisez la commande sslstash qui se trouve dans le répertoire bin d' IBM HTTP Serverpour créer votre fichier de mot de passe secret CRL. Le mot de passe indiqué à l'aide de la commande sslstash doit correspondre à celui que vous avez utilisé pour vous connecter au serveur LDAP.

    Utilisation :
    sslstash [-c] &ltdirectory_to_password_file_and_file_name&gt; <function_name> <password>
    où :
    • -c : crée un fichier de dissimulation. Si rien n'est indiqué, un fichier existant est mis à jour.
    • Fichier : représente le nom complet du fichier à créer ou à mettre à jour.
    • Fonction : indique la fonction pour laquelle utiliser le mot de passe. Les valeurs valides sont crl et crypto.
    • Mot de passe : représente le mot de passe à stocker.
  • [AIX Solaris HP-UX Linux Windows]SSLUnknownRevocationStatus : cette directive permet de configurer la façon dont IBM HTTP Server répond lorsque des informations actualisées sur la liste de révocation de certificat (CRL) ou sur le protocole OCSP (Online Certificate Status Protocol) ne sont pas disponibles, et que le certificat client fourni n'est pas connu comme étant révoqué à partir d'une analyse précédente. Par défaut, les certificats sont considérés comme n'ayant pas été révoqués, ce qui signifie qu'ils sont valides et qu'une impossibilité temporaire d'obtention des informations CRL ou OCSP n'entraîne pas nécessairement l'échec de l'établissement de liaison SSL. Cette directive est fournie pour répondre aux circonstances dans lesquelles un certificat a été accepté sans qu'IBM HTTP Server ne soit capable de confirmer avec certitude l'état de révocation.
    Elle n'a d'effet que si les conditions suivantes sont vérifiées (true) :
    • Si IBM HTTP Server est configuré pour accepter les certificats client avec la directive SSLClientAuth.
    • IBM HTTP Server est configuré avec l'une des directives suivantes : SSLOCSPEnable, SSLOCSPUrl ou SSLCRLHostname.
    • Un certificat client SSL est fourni.
    • IBM HTTP Server ne reçoit pas de réponse OCSP ou CRL valide du serveur dorsal configuré, et le certificat client n'apparaît pas comme étant révoqué dans une réponse CRL mise en cache mais arrivée à expiration.

      Il utilise une CRL mise en cache qui a dépassé sa date d'expiration publiée lorsqu'une version en cours n'est pas disponible. La conséquence directe de la révocation d'un certificat dans une CRL ayant expiré, est un échec de l'établissement de liaison SSL qui est en dehors de la portée de la directive SSLUnknownRevocationStatus.

La vérification CRL suit l'extension URIDistributionPoint X509 dans le certificat client ainsi que l'essai du nom distinctif généré par l'émetteur du certificat client. Si le certificat contient un CDP (CRL Distribution Point), ces informations ont la priorité. Les informations sont utilisées dans l'ordre suivant :
  1. Nom CDP LDAP X.500
  2. CDP LDAP URI
  3. Nom de l'émetteur combiné à la valeur de la directive SSLCRLHostname