CRL

Viimeinen palanen mikä tarvitaan toimivan PKI rakenteen ylläpitämiseen on varmenteiden hylkäyslista (CRL) tai OCSP, joka puolestaan vastaa reaaliajassa varmenteen tilan.

CRL on vanha tuttu, joten aloitin sen kanssa. Itseasiassa CRL:n liittyvät asiat olin päättänyt jo juuri CA:ta tehdessä. CRL tulee löytyä osoitteesta crl.leivo.org. Jotta varmenteet toimivat ulkopuolellekin oikein on tuo crl.leivo.org julkisesti saavutettavissa. Se on itseasiassa tämä web palvelin. Toinen tärkeä huomioitava asia on, että sisäverkossa homman on toimittava myös, joten sisäverkossani crl.leivo.org onkin minun Microsoft Home server. Näinollen WLAN tunnistus, kun sinne saakka päästään, tulee toimivaan vaikka nettiyhteys olisikin kentässä jostain syystä.

OpenSSL on helppo virittää sylkemään pihalle CRL:ää. Minulla palvelin on viritetty sylkemään 30 minuutin välein uusi CRL. Tämä tarkoittaa sitä että varastettu/menetetty varmenne on käyttökelpoinen noin 30 minuuttia sen hylkäämisenkin jälkeen. OpenSSL luo normaalisti PEM muotoisia CRL:iä. Windows käyttäytyy kauniisti DER muotoisten CRL:n kanssa, joten valitse oma myrkkysi.

PEM: openssl ca -config testca.cnf -gencrl -out crl/Rootca-crl.pem
DER: openssl ca -config testca.cnf -gencrl -outform DER -out crl/LeivoI-CA.crl

kuten konfiguraatioista huomaa, minä sotkin PEM ja DER muotoja keskenään. Tämä siksi, että huomasin Windowsin ominaisuuden vasta myöhemmin Smile.

Tämän jälkeen skriptejä päivittämään CRL pitkin eri web palvelimia ja homma on kunnossa.

Kevyen taisteluväsymyksen vuoksi, en tässä vaiheessa konffaa OCSP:tä käyttöön. Se tulkoon myöhemmin.

3 comments

Selvä homma! Syyskuussa reissaamme 6 viikkoa maailmalla, blogaan.
Sitä ennen? Käyn ainakin Prahassa Krav Maga koulutuksessa, mutta se ei taida olla blogaamisen arvoista 🙂

Leave a Reply