我正在 apache 配置中安装 .crl。它看起来像这样:
虚拟主机默认
DocumentRoot“web”服务器名称example.com
SSLEngine 开启
SSLCertificateFile“cert.crt” SSLCertificateKeyFile“key.key” SSLCertificateChainFile“cert.ca-bundle”
SSLProtocol-all+SSLv3 SSLCipherSuite SSLv3:+HIGH:+MEDIUM
目录
命令拒绝,允许 允许所有人
SSLCACertificateFile“ClientRootCert.crt”
SSLVerifyClient 需要 SSLVerifyDepth 3
SSLCARevocation文件“CRLList.crl”
目录
虚拟主机
当 Apache 启动时,出现错误:
此处不允许使用 SSLCARevocationFile
当我将 SSLCARevocationFile 放在 Directory 标签上方时,Apache 启动了,但所有客户端证书都被拒绝,并显示以下消息:
ssl_error_expired_cert_alert(撤销和有效证书)
如何解决这个问题?
答案1
我认为您已经找到答案了,但我可能会帮助其他人。我遇到了同样的错误,因为我使用此参数生成了 crl:“crl_hours 1”。创建 crl 1 小时后,出现错误。
如果您没有使用此参数,请检查“openssl.conf”的“default_crl_days”并将其与 crl 的最后更新日期进行比较。