site map contact us back to main page
picture of tbs certificates
picture of tbs certificates
RatePoint Site Seal

Focus
VeriSign Trust Seal
Norton Secured Seal
En avant première en Europe, TBS internet lance en partenariat avec VeriSign le logo de confiance le plus reconnu au monde. Un certificat SSL n'est plus requis pour obtenir le logo, un audit de votre organisation est réalisé. De plus, un service de détection de malware est fourni. Plus de détails...



Gestion des listes de révocation dans Apache

Si vous faites de l'authentification par certificats clients, il faut vous assurer de la validité des certificats, et donc consulter la liste de révocation de chaque certificat accepté.

Si vous avez suivi nos conseils, vous avez déjà identifié le ou les émetteur (s) acceptable(s) avec l'instruction SSLCACertificateFile ou SSLCACertificatePath. Pour se faire, vous avez parcouru la chaine de certification, en partant du certificat émetteur de vos certificats (Certificats intermédiaires).
Vous allez reparcourir cette chaine en notant à chaque étape l'url de la CRL de chaque certificat. Par exemple si vous utilisez notre offre TBS X509 PKI PME votre certificat émetteur est TBS X509 CA persona. Vous obtiendrez donc la liste suivante:
http://crl.tbs-internet.com/TBSX509CApersona.crl
http://crl.comodoca.com/AddTrustClass1CARoot.crl
http://crl.usertrust.com/UTN-USERFirst-ClientAuthenticationandEmail.crl
Il va donc falloir mettre ces CRL à disposition d'Apache pour qu'il les vérifie. Pour se faire on va travailler dans le répertoire standard d'apache, le plus souvent /etc/httpd/conf/ssl.crl/

On utilise alors l'instruction Apache: 
SSLCARevocationPath conf/ssl.crl/


Ces CRL doivent être tenues à jour, donc au lieu de faire la mise à jour à la main, on va la mettre dans un CRON lancé toutes les heures. Il va récupérer toutes les CRLs de la chaine (avec curl) et les convertir au format PEM (avec openssl). Ensuite il va créer les liens hash (avec make en utilisant le Makefile fourni par Apache).

Voici notre fichier /etc/cron.hourly/maj-crl-httpd applicable pour notre exemple:

cd /etc/httpd/conf/ssl.crl

# CHAINE TBS X509 persona pour PKI PME
curl -s http://crl.tbs-internet.com/TBSX509CApersona.crl | openssl crl -inform DER -out TBSX509CApersona.crl
curl -s http://crl.comodoca.com/AddTrustClass1CARoot.crl | openssl crl -inform DER -out AddTrustClass1CARoot.crl
curl -s http://crl.usertrust.com/UTN-USERFirst-ClientAuthenticationandEmail.crl | openssl crl -inform DER -out UTN-USERFirst-ClientAuthenticationandEmail.crl

make > /dev/null
Le résultat est le suivant: 
$ ll /etc/httpd/conf/ssl.crl
-rw-r--r--    1 root     root          320 Aug 24  1999 README.CRL
-rw-r--r--    1 root     root         1568 Aug 24  1999 Makefile
-rw-r--r--    1 root     root          841 Feb 11 14:10 TBSX509CApersona.crl
-rw-r--r--    1 root     root          857 Feb 11 14:10 UTN-USERFirst-ClientAuthenticationandEmail.crl
-rw-r--r--    1 root     root        31675 Feb 11 14:10 AddTrustClass1CARoot.crl
lrwxrwxrwx    1 root     root           24 Feb 11 14:10 e268a4c5.r0 -> AddTrustClass1CARoot.crl
lrwxrwxrwx    1 root     root           46 Feb 11 14:10 9ec3a561.r0 -> UTN-USERFirst-ClientAuthenticationandEmail.crl
lrwxrwxrwx    1 root     root           20 Feb 11 14:10 4840af4a.r0 -> TBSX509CApersona.crl
Il ne nous reste plus qu'à indiquer à Apache de consulter ces CRL avec l'instruction 
SSLCARevocationPath conf/ssl.crl/
Anonymous [ settings | log in ]
Dernière modification le 11/05/2011 13:21:56 --- [Chercher]