You are viewing a plain text version of this content. The canonical link for it is here.
Posted to users-de@httpd.apache.org by Ralf Mellis <r....@kisters.com> on 2002/09/27 16:37:30 UTC
Widerrufung eines Client-Zertifikates hat keine Auswirkung
Hallo,
ich arbeite mich gerade in die Erstellung von SSL-Zertifikaten ein.
(System: apache 1.3.26, mod_ssl 2.8.10-1.3.26, OpenSSL 0.9.6g).
Nachdem ich nun das ganze "Geraffel" mit CA und Serverzertifikat
nebst Erstellung von Clientzertifikaten hinbekommen habe, teste
ich derzeit den Widerruf eines solchen Zertifikats.
Allein: Nachdem ich ein Zertifikat per
openssl ca -revoke </pfad/zum/zertifikat> -config
</pfad/zur/openssl/config/vom/virtualhost>
widerrufen habe, mit Erfolg, da die Ausgabe des obigen Kommandos so
lautet:
#### snip ####
Using configuration from </pfad/zur/config/vom/virtualhost>
Revoking Certificate 04.
Data Base Updated
#### snap ####
habe ich das Problem: Der Zugriff über den Browser/User, bei dem ich
genau dieses Zertifikat
installiert habe, funktioniert auch *nach* dem Widerruf noch...
Was mich auch irgendwie wundert ist, das die CRL nicht in irgendeiner
Weise "geupdatet"
wird.
Hier nun noch meine relevanten Passagen aus den diversen Konfigurati
onsdateien:
1. openssl.cnf (vom Virtual Host)
[ CA_default ]
dir = /usr/ssl/kmc # Where everything is kept
certs = $dir/certs # Where the issued certs are
kept
crl_dir = $dir/crl # Where the issued crl are kept
database = $dir/index.txt # database index file.
new_certs_dir = $dir/newcerts # default place for new certs.
certificate = /etc/httpd/ssl.crt/kmc-ca.crt # The CA
certificate
serial = $dir/serial # The current serial number
crl = $dir/crl/crl.pem # The current CRL
private_key = /etc/httpd/ssl.key/kmc-ca.key # The private key
RANDFILE = $dir/private/.rand # private random number file
2. httpd.conf (im Rahmen eines Named Virtual Hosts auf Portbasis)
<IfDefine SSL>
SSLEngine On
SSLCertificateFile /etc/httpd/ssl.crt/kmc-server.crt
SSLCertificateKeyFile /etc/httpd/ssl.key/kmc-server.key
SSLCACertificateFile /etc/httpd/ssl.crt/kmc-ca.crt
SSLVerifyClient require
SSLCARevocationFile /usr/ssl/kmc/crl/crl.pem
</IfDefine>
Was mache ich falsch?
--
Ralf Mellis
Kisters Maschinenbau GmbH
Abteilung DV/ORG
47533 Kleve
Boschstr. 1-3
Germany
Telefon +49(0)2821-503-0
Fax +49(0)2821-26110
Re: Widerrufung eines Client-Zertifikates hat keine Auswirkung
Posted by Max Dittrich <Ma...@t-online.de>.
Hallo,
Ralf Mellis wrote:
> Hallo,
>
> ich arbeite mich gerade in die Erstellung von SSL-Zertifikaten ein.
> (System: apache 1.3.26, mod_ssl 2.8.10-1.3.26, OpenSSL 0.9.6g).
>
> Nachdem ich nun das ganze "Geraffel" mit CA und Serverzertifikat
> nebst Erstellung von Clientzertifikaten hinbekommen habe, teste
> ich derzeit den Widerruf eines solchen Zertifikats.
Nur ganz kurz zwei Links. Da ich mich im Komplex "OpenSSL/mod_ssl" nicht
besonders auskenne auch keine weiteren Hinweise:
Das SSL-Handbuch des DFN:
http://www.dfn-pca.de/certify/ssl/handbuch/ossl095/ossl095-7.html#s-gebr-rueckruf
und ein sparsamer Artikel in "www.apacheweek.com"
http://www.apacheweek.com/issues/00-12-22
>
> Allein: Nachdem ich ein Zertifikat per
> openssl ca -revoke </pfad/zum/zertifikat> -config
> </pfad/zur/openssl/config/vom/virtualhost>
> widerrufen habe, mit Erfolg, da die Ausgabe des obigen Kommandos so
> lautet:
> #### snip ####
> Using configuration from </pfad/zur/config/vom/virtualhost>
> Revoking Certificate 04.
> Data Base Updated
> #### snap ####
>
> habe ich das Problem: Der Zugriff über den Browser/User, bei dem ich
> genau dieses Zertifikat
> installiert habe, funktioniert auch *nach* dem Widerruf noch...
>
> Was mich auch irgendwie wundert ist, das die CRL nicht in irgendeiner
> Weise "geupdatet"
> wird.
$ man ca
[...]
-gencrl
this option generates a CRL based on information in the index
file.
>
> Hier nun noch meine relevanten Passagen aus den diversen Konfigurati
> onsdateien:
>
[...]
schoenen gruss,
.max