Widerrufung eines Client-Zertifikates hat keine Auswirkung

27 Sep 2002 14:37:31 -0000 

Hallo,

ich arbeite mich gerade in die Erstellung von SSL-Zertifikaten ein.
(System: apache 1.3.26, mod_ssl 2.8.10-1.3.26, OpenSSL 0.9.6g).

Nachdem ich nun das ganze "Geraffel" mit CA und Serverzertifikat
nebst Erstellung von Clientzertifikaten hinbekommen habe, teste
ich derzeit den Widerruf eines solchen Zertifikats.

Allein: Nachdem ich ein Zertifikat per
openssl ca -revoke </pfad/zum/zertifikat> -config 
</pfad/zur/openssl/config/vom/virtualhost>
widerrufen habe, mit Erfolg, da die Ausgabe des obigen Kommandos so 
lautet:
#### snip ####
Using configuration from </pfad/zur/config/vom/virtualhost>
Revoking Certificate 04.
Data Base Updated
#### snap ####

habe ich das Problem: Der Zugriff über den Browser/User, bei dem ich 
genau dieses Zertifikat
installiert habe, funktioniert auch *nach* dem Widerruf noch...

Was mich auch irgendwie wundert ist, das die CRL nicht in irgendeiner 
Weise "geupdatet"
wird.

Hier nun noch meine relevanten Passagen aus den diversen Konfigurati  
onsdateien:

1. openssl.cnf (vom Virtual Host)

[ CA_default ]

dir             = /usr/ssl/kmc          # Where everything is kept
certs           = $dir/certs            # Where the issued certs are 
kept
crl_dir         = $dir/crl              # Where the issued crl are kept
database        = $dir/index.txt        # database index file.
new_certs_dir   = $dir/newcerts         # default place for new certs.

certificate     = /etc/httpd/ssl.crt/kmc-ca.crt         # The CA 
certificate
serial          = $dir/serial           # The current serial number
crl             = $dir/crl/crl.pem              # The current CRL
private_key     = /etc/httpd/ssl.key/kmc-ca.key # The private key
RANDFILE        = $dir/private/.rand    # private random number file

2. httpd.conf (im Rahmen eines Named Virtual Hosts auf Portbasis)

<IfDefine SSL>
        SSLEngine On
        SSLCertificateFile      /etc/httpd/ssl.crt/kmc-server.crt
        SSLCertificateKeyFile   /etc/httpd/ssl.key/kmc-server.key
        SSLCACertificateFile    /etc/httpd/ssl.crt/kmc-ca.crt
        SSLVerifyClient require
        SSLCARevocationFile     /usr/ssl/kmc/crl/crl.pem
</IfDefine>

Was mache ich falsch?

--
Ralf Mellis
Kisters Maschinenbau GmbH
Abteilung DV/ORG
47533 Kleve
Boschstr. 1-3
Germany
Telefon +49(0)2821-503-0
Fax     +49(0)2821-26110

Antwort per Email an