Temos nossa própria CA para uso interno que protege cerca de dez servidores/serviços. Na verdade, não temos nem precisamos de uma lista de revogação de certificados.
Mas, enquanto tentamos configurar o Dovecot para verificar a identidade do nosso servidor Postfix, descobrimos que o Dovecot não aceitará nosso certificado CA, a menos que tenha uma CRL anexada ao mesmo arquivo.
Se tivermos um certificado de CA público, authority.crtpodemos adicionar alguns dados CRL fictícios a esse arquivo de certificado de autoridade para deixar o Dovecot feliz?
ATUALIZAR:
Acho que quase descobri isso:
openssl ca -config ca/authority.cnf \
-gencrl -crldays 365 -crl_hold holdInstructionCallIssuer
Mas eu entendo:
unable to load number from ssl/crlnumber
error while loading CRL number
140581396727104:error:0D066096:asn1 encoding routines:a2i_ASN1_INTEGER:short line:../crypto/asn1/f_int.c:140:
O crlnumberarquivo não existia. Tentei touchimplementá-lo, o que não funcionou, e depois adicionei o número 1ao topo, o que também não funcionou. Provavelmente preciso configurar algo no authority.cnfarquivo de configuração do crlnumberarquivo.
O comando para fazer uma CRL é:
Em
authority.cnf, você precisa ter:Você também precisa criar o
crlnumberarquivo com antecedência e preenchê-lo com um número. O número deve ser um número par de dígitos. ou seja1, não é válido, mas01é válido.Você receberá uma CRL que pode ser colada no arquivo crt da autoridade após o certificado. E Dovecot aceita isso.