• バックアップ一覧
• 現在との差分 を表示
• ソース を表示
• バックアップ を表示
• セキュリティ/OpenSSL/クライアント証明書の失効 へ行く。
  • 1 (2013-03-06 (水) 00:32:18)
  • 2 (2013-03-06 (水) 01:29:56)
  • 3 (2013-05-29 (水) 18:55:47)
  • 4 (2017-02-14 (火) 08:58:34)

• 追加された行はこの色です。
• 削除された行はこの色です。

* 証明書の失効 [#m335e53e]
* クライアント証明書の失効 [#m335e53e]

 openssl ca -config ./openssl.cnf -gencrl -revoke myCA/newcerts/ABC1234XXXXXX1.pem  -out ./myCA/crl/crl.pem
** 証明書の状態を確認する [#je3c7614]
 cat ./myCA/index.txt

 V: 有効(Valid)
 R: 失効(Revoked)

- 先頭がVで始まる行が有効な証明書のレコード。
- レコード中にシリアルナンバーが記述されており、そのレコードに対応する証明書がmyCA/newcerts/シリアルナンバー.pemとして存在するはずなので、確認する。

** クライント証明書を失効させる [#e4ea1d6b]
*** シリアルナンバーファイルの作成 [#u251a32e]
 echo 01 > ./myCA/crlnumber
存在しなければ、作成する。
*** 失効の実行 [#e1f5df5a]
 openssl ca -config ./openssl.cnf -gencrl -revoke myCA/newcerts/ABC123XX1.pem
- myCA/newcerts/ABC123XX1.pemは失効させる証明書。
*** 証明書失効リスト(CRL)ファイルを作成 [#jac296b9]
 openssl ca -config ./openssl.cnf -gencrl -out ./myCA/crl/crl.pem 
- Apache等で設定する為に-outオプションを指定して証明書失効リスト(CRL)ファイルを作成する。


** ApacheでCRLを設定する [#d608cebb]
 vi httpd.conf

 SSLCARevocationFile /tmp/pki/myCA/crl/crl.pem

PukiWiki 1.5.3 © 2001-2020 PukiWiki Development Team. Powered by PHP 7.4.33. HTML convert time: 0.002 sec.