Mam nową konfigurację tomcat6.0.34, którą konfiguruję na moim CentOS 6.3 (64-bitowym). Pobrałem szereg list CRL dla urzędów certyfikacji, których używam, przekonwertowałem je z DER na PEM za pomocą openssl:

openssl crl -inform DER -outform PEM -in f1.der -out f1.pem_crl

openssl crl -inform DER -outform PEM -in f2.der -out f2.pem_crl

Następnie buduję pakiet crl ze wszystkimi pem_crls (kończy się na 283 MB crl):

cat *.pem_crl > CRL-bundle.crl

Na koniec przenoszę go do / etc / ssl / certs

mv CRL-bundle.crl /etc/ssl/certs

Konfiguruję moje złącze w następujący sposób:

    <Connector port="8080" protocol="HTTP/1.1"
       SSLEnabled="true"
       maxHttpHeaderSize="8192"
       maxThreads="150"
       minSpareThreads="25"
       maxSpareThreads="75"
       enableLookups="false"
       acceptCount="100"
       disableUploadTimeout="true"
       compression="on"
       compressableMimeType="text/html,text/xml,text/plain,text/css,text/
       javascript,application/xml,application/x-javascript,application/javascript"
       connectionTimeout="20000"
       secure="true"
       keystorePass="mykeystorepass"
       truststoreFile="/etc/ssl/certs/my.truststore"
       truststorePass="mytruststorepass"
       clientAuth="true"
       sslProtocol="TLS"
       crlFile="/etc/ssl/certs/CRL-bundle.crl"
       redirectPort="8443" />

Kiedy próbuję uruchomić tomcat6 w ten sposób, tylko jeden wpis pojawia się w moim catalina.out

    Nov 20, 2012 8:58:29 AM org.apache.catalina.core.AprLifecycleListener init
    INFO: The APR based Apache Tomcat Native library which allows optimal performance in production environments was not found on the java.library.path: /usr/java/packages/lib/amd64:/usr/lib64:/lib64:/lib:/usr/lib

Jeśli usunę odwołanie crlFile z server.xml, wszystko działa dobrze (z wyjątkiem oczywiście wyszukiwania crl). System uruchamia się, aplikacja jest dostępna, monituje o certyfikat ...

Będziemy wdzięczni za wszelkie przemyślenia na temat tego, dlaczego tak się nie powiedzie.

Sfrustrowany
źródło