BLOGTIMES
2009/07/06

証明書のCRLの期限切れ

  httpd  ssl 
このエントリーをはてなブックマークに追加

先日設定したクライアント証明書のウェブサーバですが、突然アクセスできなくなったのでエラーログをさらってみたところ、下記のようなログが沢山出ていました。

[warn] Found CRL is expired - revoking all certificates until you get updated CRL [error] Certificate Verification: Error (12): CRL has expired

エラーを素直に読む限り、CRLの有効期限が切れているので、CRLがアップデートされるまでは全ての証明書は無効化されているということのようです。考えたら当たり前ですが、CRLの有効期限が切れると、結果的にクライアント証明書の真偽の判定結果が保証できないので、安全側に倒して全て無効と判断するという動作になっているんですね。それにしてもCRLに有効期限があったというのは盲点でした。

CRLを再生成する

証明書を発行したCAのディレクトリで、下記のコマンドによりCRLを再生成をしました。
ちなみに有効期限は-crldaysで指定できるようんなので、すぐに切れないように3650日にしておきました。

openssl ca -config openssl.cnf -updatedb -gencrl -crldays 3650 -out testca.crl

    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/3108
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン