Обновление Certificate Revocation List (CRL)
-
Маленькими шажками изучаю pfSense.
Используется сторонний CA (точнее свой, но на другом компе). Поэтому сертификат CA, сертификаты пользователей/серверов и CRL были импортированы Cert Manager. Теперь пытаюсь разобраться с тем как можно обновить (заменить содержимое) CRL. Актуальный CRL-файл доступен по http.
Два дня гуглежа привели к следующему:
1. Через webConfigurator (copy-paste).
2. Сейчас crl используется в OpenVPN, поэтому можно подсмотреть расположение crl-файла в его конфиге и поменять этот файл в следующих случаях:
- при загрузке системы. С помощью скрипта в /usr/local/etc/rc.d (которые запускаются при загрузке).
- периодически запуская этот скрипт через cron.
Плюсы: наверное это наиболее реальный метод
Минусы: как только crl понадобится другой программе - снова подставлять костылики?
3. Пытаться изменить crl в конфиге pfSense (/cf/conf/config.xml). Но, изменять xml на bash достаточно занятная вещь -раз, он там содержится в зашифрованном виде (?!) - два.Я не думаю, что моя проблема новая. А как с подобной задачей справляетесь Вы?
СПАСИБО!