読者です 読者をやめる 読者になる 読者になる

うまいぼうぶろぐ

linuxとhttpdとperlのメモ

Big-IPでCRLの更新

たぶん推奨されない方法。

CRLの自動更新
あらかじめCA側で作成したcrlをimportして作成しておくこと。

openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem

これをbig-ipが参照できるところに置く

# cliで設定できるけどguiではできない

tmsh modify sys file ssl-crl name.crl source-path http://host/path/to.crl


あとはこれをbig-ipのcronなどで設定しておけば定期的に自動更新できる。。。が、
big-ipのcronに独自スクリプトを入れる時点でイレギュラーでサポートもたぶんされない。
本当はbig-ipのSSL Certification Listのところで
CRLについてはsource-pathを指定できたり、自動で定期的に取りにいってくれると良いんだけど。