デフォルトでは、HTTP プロファイルでクライアント証明書の検証が有効になっている場合、仮想サービスで使用される PKI プロファイルに少なくとも 1 つの CRL が含まれている必要があります。この CRL は、クライアント証明書に署名した CA によって発行されます。このセクションでは、CRL を生成および構成する方法について説明します。
CRL の生成
次の OpenSSL コマンドを使用して、前の手順で作成したキーと証明書を使用して CRL を生成します。
[client-cert-auth-demo] $ openssl ca -gencrl -keyfile CA.key -cert CA.pem -out crl.pem
Using configuration from /etc/pki/tls/openssl.cnf
/etc/pki/CA/index.txt: No such file or directory
unable to open '/etc/pki/CA/index.txt'
139687578113952:error:02001002:system library:fopen:No such file or
directory:bss_file.c:398:fopen('/etc/pki/CA/index.txt','r')
139687578113952:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
このコマンドでは、いくつかのエラーが発生する可能性があります。必要に応じてアクションを実行します。たとえば、次のコマンドを実行すると、ファイルが作成されます。
/etc/pki/CA/index.txt file and the file /etc/pki/CA/crlnumber with the content 01: [client-cert-auth-demo] $ touch /etc/pki/CA/index.txt [client-cert-auth-demo] $ echo 01 > /etc/pki/CA/crlnumber
CRL の再生成
エラーがある場合は解決してから、openssl ca -gencrl -keyfile CA.key -cert CA.pem -out crl.pem コマンドを再実行して、CRL を再度生成します。
[client-cert-auth-demo] $ openssl ca -gencrl -keyfile CA.key -cert CA.pem -out crl.pem Using configuration from /etc/pki/tls/openssl.cnf
