Настройте сервер Apache для извлечения и кэширования CRL из точки распространения CRL на основе расширения CRLDP клиента.

У меня есть сервер Apache с загруженным mod_ssl. Мой сервер настроен на проверку клиентских сертификатов. Клиентские сертификаты выдаются внутренним ЦС.

Сертификаты клиента содержат расширение x509 «точка распространения CRL». Указанные точки распространения являются HTTP-серверами, за которые отвечает ЦС.

Материалы, связанные с CRL, которые я бы хотел, чтобы Apache делал при проверке сертификата клиента:

1. Проверьте кэшированный CRL.
2. Убедитесь, что кешированная версия все еще действительна (я думаю, это означает если текущее время < следующее обновление)
3. Получить действительную копию, если это не так
4. Убедитесь, что сертификат клиента не занесен в черный список.

Я нашел директиву Apache, связанную с CRL (SSLCARevocationCheck, SSLCARevocationPath, SSLCARevocationFile), но они, похоже, ожидают, что CRL будет статическим файлом, указанным до получения запросов.

Это конструктивное решение кажется несовместимым с расширением CRL Distribution Points. (Обходной вопрос - я что-то упустил?)

Есть ли способ настроить Apache так, чтобы он вел себя так, как хотелось бы? Если нет, то какие у меня варианты?