[Eisfair] Probleme mit apache und den Zertifikaten
Stefan Puschek
stefan.puschek at t-online.de
Do Sep 21 16:44:57 CEST 2017
Hallo Marcus,
>>> Der für Deine lokale CA zuständige ruft das crl per http, also vom
>>> Apachen ab.
>>
>> und wenn ich gar keinen apachen am laufen hätte?
>
> ???
>
> Habe ich noch nie probiert.
>
>>> Mach mal bitte:
>>>
>>> cd /var/certs/ssl
>>> grep barbrady certs-update-crl-joblist
>>> grep barbrady certs-update-crl-list
>>
>> barbrady # cd /var/certs/ssl
>> barbrady # grep barbrady certs-update-crl-joblist
> [...]
>> 161627|2017-09-21 15:44||http://barbrady.southpark.lan/certs/crl.pem
>
> Joo, das sind eine Menge.
>
>> barbrady # grep barbrady certs-update-crl-list
>> http://barbrady.southpark.lan/certs/crl.pem|crl.pem
>
> Da stimmt was nicht.
>
> Hinter dem | sollte barbrady.southpark.lan-crl.pem stehen.
>
> Hast Du in /var/certs/ssl/crl auch noch ein crl.der und crl.pem stehen?
nein
barbrady # cd /var/certs/ssl/crl
barbrady # ls -la crl*
-rw-r--r-- 1 root root 1263 Sep 20 20:07
crl.identrust.com-DSTROOTCAX3CRL.crl.pem
-rw-r--r-- 1 root root 1015 Sep 20 20:14
crl.serverpass.telesec.de-DT_ROOT_CA_2.crl.pem
-rw-r--r-- 1 root root 8876 Sep 20 20:14
crl.serverpass.telesec.de-TeleSec_ServerPass_DE-2.crl.pem
-rw-r--r-- 1 root root 776 Sep 20 20:14 crl.thawte.com-ThawtePCA.crl.pem
-rw-r--r-- 1 root root 654 Sep 20 20:14
crl.thawte.com-ThawtePremiumServerCA.crl.pem
-rw-r--r-- 1 root root 918 Sep 20 20:15 crl.verisign.com-pca3-g5.crl.pem
-rw-r--r-- 1 root root 1503 Sep 20 20:15 crl.verisign.com-pca3.crl.pem
barbrady #
>>> Du hast eine CA und dazu gehört nun mal eine CRL.
>>
>> Aber warum wird über den apachen darauf zugegriffen, wenn ich die CA
>> doch nur für mein exim-Zertifikat brauche?
>
> Wenn in einem Zertifikat eine CRL-URL (http manchmal auch ldap) steht, wird
> diese URL downgeloadet.
>
> Und das kann doch nur gehen, wenn auch ein http-Dienst auf der Zielmaschine
> läuft.
>
>> Andere Frage: wie kann ich den Spuk abstellen; müssten das gleiche
>> Problem nicht auch andere Leute haben?
>
> Ich habs nicht, habe aber auch keine vhosts.
>
> Allerings könnte da in Deinem CRL-Verzeichnis auch noch was nicht stimmen.
> (s. o.)
Groetjes
Stefan
Mehr Informationen über die Mailingliste Eisfair