Discussion :

[lsda26]

Bonjour,
Je suis en train de finaliser l'installation d'une PKI sur du debian et une question se pose:
Pour la directive SSLCARevocationFile, peut-on mettre un chemin du type: http//monserveurapache/crl.pem à la place d'un chemin local?
Car je conte publier mes crl en interne sur un serveur web http. Donc il faudrait que mes autres serveurs récupèrent les listes de révocation sur le site http.
Merci

[dahtah]

Non, tu ne peux pas. C'est assez chiant d'ailleurs.
La solution que les gens utilisent en general, c'est un bete cronjob qui fait un curl et pose ta CRL a l'endroit approprie.
Il faut juste faire attention a ce que la periodicite de ta cronjob soit superieure a celle de ta CRL. Sinon ta CRL expire et toute authentification mutuelle est refusee.

Cette "limitation" n'existe pas avec OCSP. Et vu qu'OCSP est nettement plus robuste que les CRL, ca vaut le coup de regarder si tu as le temps.

[lsda26]

Merci pour la confirmation, c'est bien ce que je pensais.
Je diffuserais donc mes crl par scp dans un script...