Jean e Thiago, Obrigada pelas informações.
De fato, estava tudo certo, consegui publicar a CRL no meu servidor e funcionou. O que estava pegando, no meu caso, é que eu precisava exportar a CRL para o formato PEM, que é usado pelo Firefox/Thunderbird (que é o que estou usando no meu ambiente de teste) Mesmo assim, a consulta a CRL não parece ser mesmo uma coisa muito automática no cliente. Tem que importar a CRL e configurar uma periodicidade de atualização da mesma (no thunderbird dá para configurar isso em Preferências -> Certificados -> Revogações) Ainda assim, pode ser uma coisa não muito prática de se manter. Vou dar uma olhada também no OSCP e ver no que vai dar. A questão sobre certificados é apenas uma necessidade interna, que será usada apenas por alguns usuários-chave na empresa (pelo menos por enquanto) e por isso busco uma solução bem simples, prática e funcional. Talvez não haja por hora necessidade de uma política mais abrangente de PKI, mas seria interessante já preparar o meio de campo para algo mais "macro"... Valeu as dicas... Jean Everson Martina escreveu: >> Uma alternativa é você colocar um OCSP, que é como um DNS para >> consultar certificados revogados, mas como DNS o TTL é importante. >> PKI é uma coisa cheia dos detalhes.... >> Thiago Macieira escreveu: > Até onde eu saiba, o que você fez está tudo certo. Bastaria colocar o > arquivo de revogação na Web. > > O problema é que eu não acredito que esses clientes de email tenham > suporte à CRL. --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
