* クライアント証明書の失効 [#m335e53e]
** 証明書の状態を確認する [#je3c7614]
cat ./myCA/index.txt
V: 有効(Valid)
R: 失効(Revoked)
- 先頭がVで始まる行が有効な証明書のレコード。
- レコード中にシリアルナンバーが記述されており、そのレコードに対応する証明書がmyCA/newcerts/シリアルナンバー.pemとして存在するはずなので、確認する。
** クライント証明書を失効させる [#e4ea1d6b]
*** シリアルナンバーファイルの作成 [#u251a32e]
echo 01 > ./myCA/crlnumber
存在しなければ、作成する。
*** 失効の実行 [#e1f5df5a]
openssl ca -config ./openssl.cnf -gencrl -revoke myCA/newcerts/ABC123XX1.pem
- myCA/newcerts/ABC123XX1.pemは失効させる証明書。
*** 証明書失効リスト(CRL)ファイルを作成 [#jac296b9]
openssl ca -config ./openssl.cnf -gencrl -out ./myCA/crl/crl.pem
- Apache等で設定する為に-outオプションを指定して証明書失効リスト(CRL)ファイルを作成する。
** ApacheでCRLを設定する [#d608cebb]
vi httpd.conf
SSLCARevocationFile /tmp/pki/myCA/crl/crl.pem
** CRLの内容の確認 [#fe21a38d]
openssl crl -in crl.pem -text
上のコマンドを実行すると以下のように失効した証明書のシリアルナンバーを確認出来る。
Revoked Certificates:
Serial Number: ABC1234XYZ56789
Revocation Date: Apr 26 13:45:28 2013 GMT
*** PCにインストールしたクライアント証明書のシリアルナンバーの確認(Windows) [#lb876594]
- コントロールパネルからインターネットオプションを開く。
- 「コンテンツ」タブを選び、「証明書」ボタンを押下する。
- インストールしたクライアント証明書を探して選択し、「表示」ボタンを押下する。
- 「詳細」タブを選び、「シリアル番号」を確認する。
** 参考 [#ufd7ffda]
- http://www.atmarkit.co.jp/ait/articles/0102/23/news002.html
