- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- セキュリティ/OpenSSL/クライアント証明書の失効 へ行く。
- 1 (2013-03-06 (水) 00:32:18)
- 2 (2013-03-06 (水) 01:29:56)
- 3 (2013-05-29 (水) 18:55:47)
- 4 (2017-02-14 (火) 08:58:34)
クライアント証明書の失効
証明書の状態を確認する
cat ./myCA/index.txt
V: 有効(Valid) R: 失効(Revoked)
- 先頭がVで始まる行が有効な証明書のレコード。
- レコード中にシリアルナンバーが記述されており、そのレコードに対応する証明書がmyCA/newcerts/シリアルナンバー.pemとして存在するはずなので、確認する。
クライント証明書を失効させる
シリアルナンバーファイルの作成
echo 01 > ./myCA/crlnumber
存在しなければ、作成する。
失効の実行
openssl ca -config ./openssl.cnf -gencrl -revoke myCA/newcerts/ABC123XX1.pem
- myCA/newcerts/ABC123XX1.pemは失効させる証明書。
証明書失効リスト(CRL)ファイルを作成
openssl ca -config ./openssl.cnf -gencrl -out ./myCA/crl/crl.pem
- Apache等で設定する為に-outオプションを指定して証明書失効リスト(CRL)ファイルを作成する。
ApacheでCRLを設定する
vi httpd.conf
SSLCARevocationFile /tmp/pki/myCA/crl/crl.pem