クライアント証明書の失効前提
証明書の状態を確認するcat ./myCA/index.txt V: 有効(Valid) R: 失効(Revoked)
証明書のコモンネームの確認openssl x509 -in ./myCA/newcerts/ABC123XX1.pem -subject クライント証明書を失効させる(初回だけ)CRLシリアルナンバーファイルの作成echo 00 > ./myCA/crlnumber
失効の実行openssl ca -config ./openssl.cnf -gencrl -revoke myCA/newcerts/ABC123XX1.pem
証明書失効リスト(CRL)ファイルを作成openssl ca -config ./openssl.cnf -gencrl -out ./myCA/crl/crl.pem
CRLの有効期限
ApacheでCRLを設定するvi httpd.conf SSLCARevocationFile /var/pki/myCA/crl/crl.pem CRLの内容の確認openssl crl -in crl.pem -text 上のコマンドを実行すると以下のように失効した証明書のシリアルナンバーを確認出来る。 Revoked Certificates: Serial Number: ABC1234XYZ56789 Revocation Date: Apr 26 13:45:28 2013 GMT PCにインストールしたクライアント証明書のシリアルナンバーの確認(Windows)
参考 |
|