je souhaite vérifier qu'une chaine certificat est bien valide à la ligne de commande en utilisant l'outil "openssl verify"

Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
 
$ openssl verify -CApath /etc/ssl/certs certificationChain.PKC7.pem
certificationChain.PKC7.pem: OK
$
==> ca marche !

maintenant je voudrais aussi vérifier que le certificat n'est pas présent dans la CRL (Certificate Revocation List))

donc il faut rajouter le switch -crl_check

Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
 
$ openssl verify -CApath /etc/ssl/certs -crl_check certificationChain.PKC7.pem
certificationChain.PKC7.pem: <<bla bla bla ici le champ subject du certificat>>
error 3 at 0 depth lookup:unable to get certificate CRL
$
===> unable to get certificate CRL

par ailleurs, je dispose bien des fichiers de CRL, je peux les mettre à jour, etc. Je peux les convertir du format binaire au formpat pem (-----BEGIN X509 CRL-----tralalalal-----END X509 CRL-----)
j'ai meme un fichier de toutes les crl en pem concaténées à la suite.

j'ai essayé plusieurs combinaisons. Les mettre dans /etc/ssl/certs mais aussi /etc/ssl/crl/, j'ai meme essayé de passer ces repertoires au c_rehash

j'ai double-checké le /etc/ssl/openssl.cnf (notamment la ligne dir= et autour)...

j'ai vérifié les droits de lecture sur les fichiers...

rien n'y fait.

je suis à cours d'idée là.