失効

apache

クライアント認証している場合に,クライアント証明書の期限前にアクセスを拒否したい場合には,発行した証明書を失効させて,OCSP か CRL で失効を伝えます.

今回は,試しに CRL を設定してみました.

設定手順

/etc/httpd/conf.d/ssl.conf に追記
SSLCARevocationFile /etc/pki/tls/certs/ca3.crl

SSLCARevocationFile Directive については下記を参照してください.
mod_ssl - Apache HTTP Server

CRL の設置

ssl.conf に SSLCARevocationFile に記載したパスに CRL ファイルを格納します.

接続できないことを確認してみる

ブラウザ

f:id:Hexa:20120310222217p:plain

パケット
    SSLv3 Record Layer: Alert (Level: Fatal, Description: Certificate Revoked)
        Content Type: Alert (21)
        Version: SSL 3.0 (0x0300)
        Length: 2
        Alert Message
            Level: Fatal (2)
            Description: Certificate Revoked (44)

Certificate Revoked の Alert が返ってきました.
期待通りです.