issue_crl はRFC-1422形式のCRLを発行する。ICAP専用のコマ
ンドであり、専用のログ(CRL発行ログ)への記録も行なう。
cron から定期的に CRL を実行する場合に利用する。
$ICAP/log/revoke.log から証明書の廃止証明を行う.
revoke.logの形式は次の形式をとる。
UTCTime:CertificateSerialNumber:
で指定された行が任意個連なっている.ここで,UTCTimeは廃止され
た日時を,CertificateSerialNumberは証明書のシリアル番号が16進(32bitま
で)で与えられている.
発行されたCRLは$ICAP/crl/crl に出力される.中身を確認す
るには,peek -r と signorverify を用いる.
issue_crl コマンドは次のオプションを持つ:
-s
(テスト用)
結果を標準出力に表示する。CRL発行ログに記録を残さない。
-d mdays
mdays の値で CRL のフィールドの1つである「次の発行予定日」
の日付を決定する。(1-31)
利用するときは、必ず m オプションと組み合わせる。
-m months
months の値で CRL のフィールドの1つである「次の発行予定日」
を何ヵ月後に設定するかを決定する。(>= 0)
-n days
days の値で CRL のフィールドの1つである「次の発行予定日」
を何日後に設定するかを決定する。
例えば、
issue_crl -m 1 -d 25+
で CRL の「次の発行予定日」フィールドが翌月の 25日に設定される。
また、
issue_crl -n 7
では、CRL の「次の発行予定日」フィールドが 1週間後に設定される。
EXAMPLES
CRL を毎月20日に定期発行しようとする場合、crontab には例えば次
のように設定する。なお、cron は Webサーバの実行ユーザID の権限で実行す
る必要があるため、例えば nobody というcrontab ファイルを用意することに
なる。
0 0 20 * * /usr/etc/ICAP/bin/issue_crl -m 1 -d 20 >/dev/null
CRL を毎日定期発行しようとする場合、crontab には例えば次のよう
に設定する。
0 0 * * * /usr/etc/ICAP/bin/issue_crl -n 1 > /dev/null
CRL を1週間毎に定期発行しようとする場合、crontab には例えば次
のように設定する。
0 0 * * 1 /usr/etc/ICAP/bin/issue_crl -n 7 > /dev/null
FILES
signorverify,ecc_signorverify | 証明書署名ツール
$ICAP/log/revoke.log | 証明書破棄に関するログ |
$ICAP/lib/icap-libx509.pl | X.509 関連ライブラリ |
$ICAP/etc/icap.conf | ICAP 関連変数設定ファイル |
BUGS
-m 0 のとき、-d mdays の mdays の値がコマンド実行時の日付より
小さいと、「次の発行予定日」フィールドが過去の日付になる。