Score:0

กำหนดค่าเซิร์ฟเวอร์ Apache เพื่อดึงข้อมูลและแคช CRL จากจุดแจกจ่าย CRL ตามส่วนขยายไคลเอ็นต์ CRLDP

ธง cn
NG_

ฉันมีเซิร์ฟเวอร์ Apache ที่โหลด mod_ssl แล้ว เซิร์ฟเวอร์ของฉันได้รับการกำหนดค่าให้ตรวจสอบใบรับรองไคลเอ็นต์ ใบรับรองไคลเอ็นต์ออกโดย CA ภายใน

ใบรับรองไคลเอ็นต์มีส่วนขยาย x509 "CRL Distribution Point" จุดแจกจ่ายที่ระบุคือเซิร์ฟเวอร์ HTTP ภายใต้ความรับผิดชอบของ CA

สิ่งที่เกี่ยวข้องกับ CRL ที่ฉันต้องการให้ Apache ทำเมื่อใบรับรองไคลเอ็นต์ได้รับการตรวจสอบแล้ว:

  1. ตรวจสอบ CRL ที่แคชไว้
  2. ตรวจสอบให้แน่ใจว่าเวอร์ชันแคชยังคงถูกต้อง (ฉันเดาว่าหมายถึง ถ้าเวลาปัจจุบัน < nextUpdate)
  3. ดึงสำเนาที่ถูกต้องหากไม่ใช่
  4. ตรวจสอบให้แน่ใจว่าใบรับรองไคลเอ็นต์ไม่ได้อยู่ในบัญชีดำ

ฉันพบคำสั่งที่เกี่ยวข้องกับ CRL ของ Apache แล้ว (SSLCARevocationCheck , SSLCARevocationPath, SSLCARevocationFile) แต่ดูเหมือนว่าจะคาดหวังว่า CRL จะเป็นไฟล์สแตติกซึ่งระบุไว้ก่อนที่จะได้รับคำขอ

การตัดสินใจออกแบบนี้ดูเหมือนจะเข้ากันไม่ได้กับส่วนขยาย CRL Distribution Points (คำถามทางอ้อม - ฉันพลาดอะไรไปหรือเปล่า)

มีวิธีการกำหนดค่า Apache ให้ทำงานตามที่ต้องการหรือไม่? ถ้าไม่ ทางเลือกของฉันคืออะไร?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา