-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Rejaine Monteiro wrote: >Olá lista, > >Estou gerando certificados para clientes de correio (afim de utilizar >criptografia para mensagens confidenciais) > >Nessa estrutura, criei uma CA interna (entidade certificadora) que irá >assinar os certificados de todos os clientes. Fiz um script que utiliza >comandos do próprio openSSL para gerenciar a CA e os certificados. Até >aí tudo bem, está tudo funcionando direitinho. > >A minha duvida é em relação a publicação da lista dos certificados >revogados (CRL) > >Eu gero a lista normalmente, por exemplo, através do comando: openssl >ca -gencrl -out revogados.crl > >Depois de gerada, consigo visualizar a relação do certificados revogados >em formato texto sem problemas, através do comando: openssl crl -in >revogados.crl -noout -text > >Os certificados de todos os clientes são gerados com a opção: >nsCaRevocationUrl apontando para um servidor apache2 (que manterá o >arquivo CRL gerado acima sempre atualizado) > >Ex: nsCaRevocationUrl = http://meuservidorapache.dominio/revogados.crl > >Mas imagino que não basta apenas copiar o arquivo revogados.crl para o >DocumentRoot do meu servidor web. > >Quero que os clientes de correio possam validar os certificados (ou >seja, certificar se os mesmos estão ainda válidos ou se foram revogados) >a partir a consulta ao nsCaRevocationUrl, > >Vi algumas sugestões na internet, mas acredito que não estou fazendo a >coisa certa, porque não está funcionando como o esperado. > >O esperado é que os clientes de correio (thunderbird, evolution e >outlook) pesquisem a lista CRL e dêem algum alerta para o usuário, caso >algum certificado usado tenha sido revogado (não sei se isso funciona >assim...) Se não for para isso, não imagino nenhum outro motivo para >gerar essa CRL...
Olá Rejaine Até onde eu saiba, o que você fez está tudo certo. Bastaria colocar o arquivo de revogação na Web. O problema é que eu não acredito que esses clientes de email tenham suporte à CRL. - -- Thiago Macieira - thiago (AT) macieira.info - thiago (AT) kde.org PGP/GPG: 0x6EF45358; fingerprint: E067 918B B660 DBD1 105C 966C 33F5 F005 6EF4 5358 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.7 (GNU/Linux) iD8DBQFGpgtcM/XwBW70U1gRAi4eAJ9B4eei72rHL00Gqq+3j7zL9SjujQCfYGL5 eOmObKZPQ48AqyIzNxL2GYs= =oBSv -----END PGP SIGNATURE----- --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
