FAQ TBS-certificats: Gestion des listes de révocation dans Apache

Focus

Alerte OpenSSL/Debian :

TBS Internet refabrique gratuitement les certificats impactés par ce bug et invite ses clients à vérifier si ils sont concernés. Plus de détails...

De nouveaux assistants sont à votre disposition!

TBS Internet a développé deux nouveaux outils pour vous guider dans votre choix de «solutions PKI» ou «certificats utilisateurs».

FAQ TBS-certificats :

Utiliser un certificat :

Accès web avec authentification forte :
Gestion des listes de révocation dans Apache

Si vous faites de l'authentification par certificats clients, il faut vous assurer de la validité des certificats, et donc consulter la liste de révocation de chaque certificat accepté.

Si vous avez suivi nos conseils, vous avez déjà identifié le ou les émetteur (s) acceptable(s) avec l'instruction SSLCACertificateFile ou SSLCACertificatePath. Pour se faire, vous avez parcouru la chaine de certification, en partant du certificat émetteur de vos certificats (Certificats intermédiaires ).

Vous allez reparcourir cette chaine en notant à chaque étape l'url de la CRL de chaque certificat. Par exemple si vous utilisez notre offre TBS X509 PKI PME votre certificat émetteur émetteur est TBS X509 CA persona . Vous obtiendrez donc la liste suivante:

http://crl.tbs-internet.com/TBSX509CApersona.crl
http://crl.comodoca.com/AddTrustClass1CARoot.crl
http://crl.usertrust.com/UTN-USERFirst-ClientAuthenticationandEmail.crl

Il va donc falloir mettre ces CRL à disposition d'Apache pour qu'il les vérifie. Pour se faire on va travailler dans le répertoire standard d'apache, le plus souvent /etc/httpd/conf/ssl.crl/

On utilise alors l'instruction Apache:

SSLCARevocationPath conf/ssl.crl/

Ces CRL doivent être tenues à jour, donc au lieu de faire la mise à jour à la main, on va la mettre dans un CRON lancé toutes les heures. Il va récupérer toutes les CRLs de la chaine (avec curl) et les convertir au format PEM (avec openssl). Ensuite il va créer les liens hash (avec make en utilisant le Makefile fourni par Apache).

Voici notre fichier /etc/cron.hourly/maj-crl-httpd applicable pour notre exemple:

cd /etc/httpd/conf/ssl.crl # CHAINE TBS X509 persona pour PKI PME curl -s http://crl.tbs-internet.com/TBSX509CApersona.crl | openssl crl -inform DER -out TBSX509CApersona.crl curl -s http://crl.comodoca.com/AddTrustClass1CARoot.crl | openssl crl -inform DER -out AddTrustClass1CARoot.crl curl -s http://crl.usertrust.com/UTN-USERFirst-ClientAuthenticationandEmail.crl | openssl crl -inform DER -out UTN-USERFirst-ClientAuthenticationandEmail.crl make > /dev/null

Le résultat est le suivant:

$ ll /etc/httpd/conf/ssl.crl
-rw-r--r--    1 root     root          320 Aug 24  1999 README.CRL
-rw-r--r--    1 root     root         1568 Aug 24  1999 Makefile
-rw-r--r--    1 root     root          841 Feb 11 14:10 TBSX509CApersona.crl
-rw-r--r--    1 root     root          857 Feb 11 14:10 UTN-USERFirst-ClientAuthenticationandEmail.crl
-rw-r--r--    1 root     root        31675 Feb 11 14:10 AddTrustClass1CARoot.crl
lrwxrwxrwx    1 root     root           24 Feb 11 14:10 e268a4c5.r0 -> AddTrustClass1CARoot.crl
lrwxrwxrwx    1 root     root           46 Feb 11 14:10 9ec3a561.r0 -> UTN-USERFirst-ClientAuthenticationandEmail.crl
lrwxrwxrwx    1 root     root           20 Feb 11 14:10 4840af4a.r0 -> TBSX509CApersona.crl

Il ne nous reste plus qu'à indiquer à Apache de consulter ces CRL avec l'instruction

SSLCARevocationPath conf/ssl.crl/

[Contribuer à cette Entrée]

2006-Feb-11 2:29pm

Précédent:	Authentification forte avec Apache et certificats délivrés par vous à des partenaires
Suivant:	Authentification forte avec IIS et TBS X509 Client Auth

Ce document est: http://www.tbs-certificats.com//cgi-bin/fom.cgi?file=200

[Chercher]

[Apparence]

C'est une Faq-O-Matic 2.721.