October 18th, 2016

CPU

Аутентификация клиентов в Apache по TLS - CRL или OCSP

Джигурды всем, коллеги.

Есть один корпоративный ресурс (SLA 98,8%, регламент в строго определенное время), который крутится на Apache (на никсах, разработчик ресурса требует именно апач). Аутентификация клиентов происходит через mod_ssl SSLVerifyClient. Сертификаты иногда требуется отзывать, о чём в CA PKI (на венде) издаются соответствующие CRL (OCSP как-то было не нужно, его и не объявляли в CDP).
Апачу не мешает знать про отозванные сертификаты, для чего существуют SSLCARevocationCheck и SSLOCSPEnable.
У каждого из способов есть минусы в моём случае:

  • CRL - необходимо вручную запрашивать CRL, конвертировать в PEM, переименовывать в заданный формат - что делается элементарно. Однако, после обновления старые CRL желательно удалять, что становится малоприятным занятием, т.к. файлы уже переименованы. Или это вообще не проблема? Автоматизировать некрасивым решением и забить?

  • OCSP - в случае выхода из строя OCSP-респондера у нас разваливается сабжевый ресурс, а CRLы есть всегда.

Кто, что посоветует?