Обновление Certificate Revocation List (CRL)



  • Маленькими шажками изучаю pfSense.
    Используется сторонний CA (точнее свой, но на другом компе). Поэтому сертификат CA, сертификаты пользователей/серверов и CRL были импортированы Cert Manager. Теперь пытаюсь разобраться с тем как можно обновить (заменить содержимое) CRL. Актуальный CRL-файл доступен по http.
    Два дня гуглежа привели к следующему:
    1. Через webConfigurator (copy-paste).
    2. Сейчас crl используется в OpenVPN, поэтому можно подсмотреть расположение crl-файла в его конфиге и поменять этот файл в следующих случаях:
      - при загрузке системы. С помощью скрипта в /usr/local/etc/rc.d (которые запускаются при загрузке).
      - периодически запуская этот скрипт через cron.
    Плюсы: наверное это наиболее реальный метод
    Минусы: как только crl понадобится другой программе - снова подставлять костылики?
    3. Пытаться изменить crl в конфиге pfSense (/cf/conf/config.xml). Но, изменять xml на bash достаточно занятная вещь -раз, он там содержится в зашифрованном виде (?!) - два.

    Я не думаю, что моя проблема новая. А как с подобной задачей справляетесь Вы?

    СПАСИБО!


Log in to reply