Рейтинг:0

Настройте сервер Apache для извлечения и кэширования CRL из точки распространения CRL на основе расширения CRLDP клиента.

флаг cn
NG_

У меня есть сервер Apache с загруженным mod_ssl. Мой сервер настроен на проверку клиентских сертификатов. Клиентские сертификаты выдаются внутренним ЦС.

Сертификаты клиента содержат расширение x509 «точка распространения CRL». Указанные точки распространения являются HTTP-серверами, за которые отвечает ЦС.

Материалы, связанные с CRL, которые я бы хотел, чтобы Apache делал при проверке сертификата клиента:

  1. Проверьте кэшированный CRL.
  2. Убедитесь, что кешированная версия все еще действительна (я думаю, это означает если текущее время < следующее обновление)
  3. Получить действительную копию, если это не так
  4. Убедитесь, что сертификат клиента не занесен в черный список.

Я нашел директиву Apache, связанную с CRL (SSLCARevocationCheck, SSLCARevocationPath, SSLCARevocationFile), но они, похоже, ожидают, что CRL будет статическим файлом, указанным до получения запросов.

Это конструктивное решение кажется несовместимым с расширением CRL Distribution Points. (Обходной вопрос - я что-то упустил?)

Есть ли способ настроить Apache так, чтобы он вел себя так, как хотелось бы? Если нет, то какие у меня варианты?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.