Я устанавливаю .crl в свою конфигурацию apache. Выглядит это так:
VirtualHost дефолт
DocumentRoot "web" ServerName example.com
SSLEngine включен
SSLCertificateFile "cert.crt" SSLCertificateKeyFile "key.key" SSLCertificateChainFile "cert.ca-bundle"
SSLProtocol -all + SSLv3 SSLCipherSuite SSLv3: + ВЫСОКИЙ: + СРЕДНИЙ
Каталог
Заказать отказать, разрешить Разрешить от всех
SSLCACertificateFile «ClientRootCert.crt»
SSLVerifyClient требует SSLVerifyDepth 3
SSLCARevocationFile "CRLList.crl"
Каталог
VirtualHost
При запуске Apache я получаю сообщение об ошибке:
SSLCARevocationFile здесь не разрешен
Когда я помещаю SSLCARevocationFile над тегом Directory, Apache запускается, но все клиентские сертификаты отклоняются с сообщением:
ssl_error_expired_cert_alert (как отозванные, так и активные сертификаты)
Как это решить?
Думаю, вы уже нашли ответ, но я могу помочь кому-то другому. У меня была такая же ошибка, потому что я сгенерировал свой crl с этим параметром: «crl_hours 1». Через 1 час после создания crl появляется ошибка.
Если вы не использовали этот параметр, проверьте "default_crl_days" вашего "openssl.conf" и сравните его с датой последнего обновления crl.