Hallo,
Ralf Mellis wrote:
Hallo,
ich arbeite mich gerade in die Erstellung von SSL-Zertifikaten ein. (System: apache 1.3.26, mod_ssl 2.8.10-1.3.26, OpenSSL 0.9.6g).
Nachdem ich nun das ganze "Geraffel" mit CA und Serverzertifikat nebst Erstellung von Clientzertifikaten hinbekommen habe, teste ich derzeit den Widerruf eines solchen Zertifikats.
Nur ganz kurz zwei Links. Da ich mich im Komplex "OpenSSL/mod_ssl" nicht besonders auskenne auch keine weiteren Hinweise:
Das SSL-Handbuch des DFN: http://www.dfn-pca.de/certify/ssl/handbuch/ossl095/ossl095-7.html#s-gebr-rueckruf
und ein sparsamer Artikel in "www.apacheweek.com" http://www.apacheweek.com/issues/00-12-22
Allein: Nachdem ich ein Zertifikat per
openssl ca -revoke </pfad/zum/zertifikat> -config </pfad/zur/openssl/config/vom/virtualhost>
widerrufen habe, mit Erfolg, da die Ausgabe des obigen Kommandos so lautet:
#### snip ####
Using configuration from </pfad/zur/config/vom/virtualhost>
Revoking Certificate 04.
Data Base Updated
#### snap ####
habe ich das Problem: Der Zugriff über den Browser/User, bei dem ich genau dieses Zertifikat
installiert habe, funktioniert auch *nach* dem Widerruf noch...
Was mich auch irgendwie wundert ist, das die CRL nicht in irgendeiner Weise "geupdatet"
wird.
$ man ca
[...]
-gencrl
this option generates a CRL based on information in the index
file.
Hier nun noch meine relevanten Passagen aus den diversen Konfigurati onsdateien:
[...]
schoenen gruss, .max
