[Eisfair] Probleme mit apache und den Zertifikaten
Marcus Roeckrath
marcus.roeckrath at gmx.de
Do Sep 21 16:07:23 CEST 2017
Hallo Stefan,
Stefan Puschek wrote:
>> Der für Deine lokale CA zuständige ruft das crl per http, also vom
>> Apachen ab.
>
> und wenn ich gar keinen apachen am laufen hätte?
???
Habe ich noch nie probiert.
>> Mach mal bitte:
>>
>> cd /var/certs/ssl
>> grep barbrady certs-update-crl-joblist
>> grep barbrady certs-update-crl-list
>
> barbrady # cd /var/certs/ssl
> barbrady # grep barbrady certs-update-crl-joblist
> 161513|2017-09-20 20:10|2017-08-10
> 17:01|http://barbrady.southpark.lan/certs/crl.pem
> 161521|2017-09-20 20:13||http://barbrady.southpark.lan/certs/crl.pem
> 161523|2017-09-20 20:16||http://barbrady.southpark.lan/certs/crl.pem
> 161524|2017-09-20 20:17|2017-08-10
> 17:01|http://barbrady.southpark.lan/certs/crl.pem
[...]
> 161627|2017-09-21 15:44||http://barbrady.southpark.lan/certs/crl.pem
Joo, das sind eine Menge.
> barbrady # grep barbrady certs-update-crl-list
> http://barbrady.southpark.lan/certs/crl.pem|crl.pem
Da stimmt was nicht.
Hinter dem | sollte barbrady.southpark.lan-crl.pem stehen.
Hast Du in /var/certs/ssl/crl auch noch ein crl.der und crl.pem stehen?
>> Du hast eine CA und dazu gehört nun mal eine CRL.
>
> Aber warum wird über den apachen darauf zugegriffen, wenn ich die CA
> doch nur für mein exim-Zertifikat brauche?
Wenn in einem Zertifikat eine CRL-URL (http manchmal auch ldap) steht, wird
diese URL downgeloadet.
Und das kann doch nur gehen, wenn auch ein http-Dienst auf der Zielmaschine
läuft.
> Andere Frage: wie kann ich den Spuk abstellen; müssten das gleiche
> Problem nicht auch andere Leute haben?
Ich habs nicht, habe aber auch keine vhosts.
Allerings könnte da in Deinem CRL-Verzeichnis auch noch was nicht stimmen.
(s. o.)
--
Gruss Marcus
Mehr Informationen über die Mailingliste Eisfair