Как я устанавливаю openssl файл CRL?
Вот сценарий.
- Сервер: Ubuntu 12.04 - постфикс и голубятня
- Клиент: Ubuntu 13.10 - offlineimap и msmtp
Я разрушаю свое восстановление после Heartbleed и хочу переиздать свой собственный сертификат сервера. Так как это - частный сервер, я первоначально создал CA, затем использовал CA для подписания сертификата сервера. Сертификат CA правильно установлен в моей клиентской системе, ключ сервера и сертификат установлены на сервере.
Теперь, я создал CRL и предугадал это, CRL не должен идти на сервер (кроме распределить повсюду, если бы у меня были какие-либо другие пользователи), но действительно должен быть установлен на моей настольной машине так, чтобы OpenSSL не принимал исходный ключ. Так, я скопировал файл CRL в/etc/ssl/crl. Я создал использование ссылки
ln -s mycrl.pem `openssl crl -hash -noout -in mycrl.pem`.0
Результат этого выглядит разумным.
openssl s_client соединения с сервером очень хорошо. Никакие сообщения об ошибках, что я вижу в соединении, но я ожидаю там быть всеми видами ошибок и возможно даже отказа соединиться. Так, я смотрю в своем openssl конфигурационном файле и перемещаю файл CRL в/etc/ssl/crl.pem. Тот же результат:
depth=1 C = US, ST = TX, L = Austin, O = SavanniDGerinel, OU = SavanniDGerinel, CN = SavanniDGerinel CA, name = savannidgerinel.com, emailAddress = savanni@alyra.org
verify return:1
depth=0 C = US, ST = TX, L = Austin, O = SavanniDGerinel, OU = SavanniDGerinel, CN = apps.savannidgerinel.com, name = savannidgerinel.com, emailAddress = savanni@alyra.org
verify return:1
---
Certificate chain
0 s:/C=US/ST=TX/L=Austin/O=SavanniDGerinel/OU=SavanniDGerinel/CN=apps.savannidgerinel.com/name=savannidgerinel.com/emailAddress=savanni@alyra.org
i:/C=US/ST=TX/L=Austin/O=SavanniDGerinel/OU=SavanniDGerinel/CN=SavanniDGerinel CA/name=savannidgerinel.com/emailAddress=savanni@alyra.org
... tons more stuff ....
SSL-Session:
... tons of sessions stuff ...
Verify return code: 0 (ok)
Как я вынуждаю систему OpenSSL на своем ноутбуке на самом деле обратить внимание на файлы аннулирования? И, учитывая, что я уверен, что сертификаты регулярно отменяются, почему не там другие файлы CRL в моей системе? Как я могу быть уверен, что на самом деле соединяюсь с тем, что я думаю, что соединяюсь с?
Говоря прямо, но почему установка является трудным списком аннулирования? Это кажется мне видом вещи, которая должна быть тривиальной для конечных пользователей, кто ничего не знает для обеспечения защиты в сети Интернет.
1 ответ
Для использования OpenSSL s_client с проверкой CRL, необходимо сделать различные недокументированные вещи, которые я описал в https://superuser.com/questions/742231/s-client-not-failing-on-revoked-certifcate/742289#742289.
Кроме этого я не знаю, если любое использование приложения, OpenSSL делает проверки CRL вообще, потому что я думаю, что необходимо явно включить эти регистрации API и затем поместить CRL в неожиданные места. И конечно нет никакой автоматической загрузки CRLs.
, Если Вы думаете теперь, когда весь этот материал TLS повреждается, Вы, вероятно, правы, и это не применяется только к OpenSSL.