クライアント証明書の失効

証明書の状態を確認する

 cat ./myCA/index.txt
 V: 有効(Valid)
 R: 失効(Revoked)
  • 先頭がVで始まる行が有効な証明書のレコード。
  • レコード中にシリアルナンバーが記述されており、そのレコードに対応する証明書がmyCA/newcerts/シリアルナンバー.pemとして存在するはずなので、確認する。

クライント証明書を失効させる

シリアルナンバーファイルの作成

 echo 01 > ./myCA/crlnumber

存在しなければ、作成する。

失効の実行

 openssl ca -config ./openssl.cnf -gencrl -revoke myCA/newcerts/ABC123XX1.pem
  • myCA/newcerts/ABC123XX1.pemは失効させる証明書。

証明書失効リスト(CRL)ファイルを作成

 openssl ca -config ./openssl.cnf -gencrl -out ./myCA/crl/crl.pem 
  • Apache等で設定する為に-outオプションを指定して証明書失効リスト(CRL)ファイルを作成する。

ApacheでCRLを設定する

 vi httpd.conf
 SSLCARevocationFile /tmp/pki/myCA/crl/crl.pem

トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS