Назад | Перейти на главную страницу

Apache 2.2.14: расположение SSLCARevocation

Я устанавливаю .crl в свою конфигурацию apache. Выглядит это так:

VirtualHost дефолт

DocumentRoot "web" ServerName example.com

SSLEngine включен

SSLCertificateFile "cert.crt" SSLCertificateKeyFile "key.key" SSLCertificateChainFile "cert.ca-bundle"

SSLProtocol -all + SSLv3 SSLCipherSuite SSLv3: + ВЫСОКИЙ: + СРЕДНИЙ

Каталог

Заказать отказать, разрешить Разрешить от всех

SSLCACertificateFile «ClientRootCert.crt»

SSLVerifyClient требует SSLVerifyDepth 3

SSLCARevocationFile "CRLList.crl"

Каталог

VirtualHost

При запуске Apache я получаю сообщение об ошибке:

SSLCARevocationFile здесь не разрешен

Когда я помещаю SSLCARevocationFile над тегом Directory, Apache запускается, но все клиентские сертификаты отклоняются с сообщением:

ssl_error_expired_cert_alert (как отозванные, так и активные сертификаты)

Как это решить?

Думаю, вы уже нашли ответ, но я могу помочь кому-то другому. У меня была такая же ошибка, потому что я сгенерировал свой crl с этим параметром: «crl_hours 1». Через 1 час после создания crl появляется ошибка.

Если вы не использовали этот параметр, проверьте "default_crl_days" вашего "openssl.conf" и сравните его с датой последнего обновления crl.