GusetЕсли кто знает как или вообще возможно ли ?

Есть Windows 2003 (DC) на нем поднят СА и установленным Apache под windows
Есть клиентская машинка с WinXP Pro (входящая в домен)
Сертификаты всем розданы. Есть 2 сертификата для User001 и User002, второй отозван.

Задача сделать систему проверки отозванности сертификата.
Сейчас для Apache из СА экспортирован список CRL и соответственно в конфигурации Apache прописан этот файл. Не хотелось бы ручками каждый раз экспортировать этот файл из СА при его изменении !!!

Возможно ли в Apache указать ldap запрос к Windows CA на проверку отозванности сертификата, который ему предъявляет клиент ????? (и соответственно с помощью какого модуля и какие настройки и каков запрос)
crl падают в расшаренный каталог на сервере с СА ... может просто дать право на чтение аккаунту апача ?

попробуйте так:
- возьмите кодировщик base64 (например, этот )
- кодируйте crl из \\ca-host\certenroll в формат base64 и в начало и конец добавте соответственно "-----BEGIN X509 CRL-----" и "-----END X509 CRL-----"
зы: автоматический скриптик имхо сами сочините ...

впрочем вот и скрипт
crl_der2pem.cmd@echo off
echo -----BEGIN X509 CRL----- > my.crl
base64 -e \\ <CA-host> \certenroll\ <crl-file> >> my.crl
echo -----END X509 CRL----- >> my.crl

Guset Biz©попробуйте так:
- возьмите кодировщик base64 (например, этот )
- кодируйте crl из \\ca-host\certenroll в формат base64 и в начало и конец добавте соответственно "-----BEGIN X509 CRL-----" и "-----END X509 CRL-----"
зы: автоматический скриптик имхо сами сочините ...

Если делать сохранение CRL (через обращение к http://server/certsrv), то там то как раз есть выбор в каком формате сохранить и файл получиться уже какой надо и с заголовками начала и конца сертификата.

А если брать MS базу CRL, я думаю это не прокатит.
Этот перекодировщик, я так понимаю содержимое любого файла показывает в base 64 кодировке.
А все дело в том что сам по себе формат хранения сертификата в MS отличается от того формата который использует Apache

в MS это PKCS12, а в Apache так называемый pem формат.
Но это все мелочи !!! - перекодировщики есть (тот же openssl)

Задача то стоит более оптимизировать автоматизм или интеграцию если хотите - чтобы Apache выполнял запрос по Ldap протоколу в CDP указанные в сертификате и сам брал CRL
Вот не знаю можно ли это заставить делать сам Apache (все найденые модули к нему не помогли)
воблин ... ну вы б хоть попробовали :)
результат работы указанного скриптика почти идентичен тому, что выдаёт запрос со странички /certsrv ... у меня разница была тока в длине строк файлика формата basе64, но это д.б. пофигу ибо все от begin до end рассматривается как единая строка ...
апачу в конфигах указывается каталог с crl и необходимость проверки отзыва ... вам нуно тока автоматизировать актуальность crl в том каталоге ... защедульте это хоть на каждую минуту ...
зы: путаницу в терминах не комментирую ...

для пущей убедительности сравните crl в формате DER через /certsrv и файл, предоставляемый на шаре CA ...

аудит примерно тут:
конф.компутера->конф.виндовс->парам.безопасн->лок.политики->политика аудита->аудит доступа к объектам -> успех и/или отказ ... далее назначаете на каталог укладывания crl аудит чтения и/или записи файлов

как-то надуманно выглядит условие доступа именно через лдап ... чем _существенным_ это мотивируется ?