Forum Linux.redhat Mon certificat révoqué fonctionne toujours

Posté par  .
Étiquettes : aucune
0
20
mar.
2006
Bonjour

J'ai déployé une PKI openssl, et je cherche à tester la révocation d'un certificat.
J'ai une ca root, une ca intermédiaire un certificat serveur et un certificat client. Avec apache 2.0xxx, ca marche bien jusqu'aux LCR
Je révoque mon certificat client , je génère ma LCR, et pourtant j'arrive toujours à me connecter au site web avec le certificat révoqué. Quelqu'un a-t-il une idée ???

Ci après l'extrait de mon fichier de conf apache avec les directives concernées:

DocumentRoot "/var/www/serveur/serverssl/html"
ServerName serverssl
ServerAdmin root@serverssl
ErrorLog logs/error_ssl_log
TransferLog logs/access_ssl_log
SSLEngine on
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
SSLCertificateFile /etc/ssl/cassl/serverssl.pem
SSLCertificateKeyFile /etc/ssl/cassl/serverssl.key
SSLCACertificateFile /etc/ssl/cassl/trustees.pem
SSLCARevocationFile /etc/ssl/crl/crl.pem
SSLVerifyClient require
SSLVerifyDepth 3

Merci d'avance

  • # HEu

    Posté par  . Évalué à 2.

    Est-ce que le serveur web gère les CRLs et a-t-il récupéré la CRL ?

    Parce qu'à mon humble avis, c'est le serveur web qui gère l'autorisation, et qui dont compare le certificat présenté à ceux enregistré dans la CRL.

    • [^] # Re: HEu

      Posté par  . Évalué à 1.

      Bonjour Mathieu
      En fait, je génère moi même la crl avec une commande suivante :
      openssl ca -config openssl.cnf -gencrl -out crl.pem

      et j'indique juste à Apache ou trouver cette liste via la directive SSLCARevocationFile dans httpd.conf.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.