<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Tahoma
}
--></style>
</head>
<body class='hmmessage'>
> Looks like you need to add the CA that is signing the CRL to your NSS <br>> database.<br><br>Im doing it, at last I think I am! will check it agai. Must be something related to intermediate CA.<br><br>> Yes, a restart is required. You might want to look at mod_revocator. It <br>> is another Apache module that can be configured to automatically <br>> retrieve CRLs and make them available to a running NSS database. The CRL <br>> isn't installed into the database but made available over PKCS#11.<br><br>Thank you Rob, I will try mod_revocator tomorrow<br><br>Luis<br><br>> Date: Fri, 20 Aug 2010 11:53:59 -0400<br>> From: rcritten@redhat.com<br>> To: luisneves@hotmail.com<br>> CC: mod_nss-list@redhat.com<br>> Subject: Re: [Mod_nss-list] some questions regarding mod_nss and CRLs<br>> <br>> Luis Neves wrote:<br>> > Hi there,<br>> ><br>> > Can someone help me on this questions I have?<br>> ><br>> > How can I update a NSS crl list?, just running the same command Ive used<br>> > to create the CRL list, but this time with a more recent CRL file is<br>> > enought?<br>> > for example, I've created the CRL database using<br>> ><br>> > crlutil -B -I -d /etc/httpd/alias/ -i ./LatestCRL.crl<br>> ><br>> > if I now download a more updated version of Latest.crl, its enought to<br>> > use the same command to replace the existing list with the updated one?<br>> ><br>> <br>> I believe it will replace the old CRL.<br>> <br>> > next question:<br>> > after the above operation, is it necessary to restart Apache? (so it<br>> > sees the most recent changes on the nss database?)<br>> <br>> Yes, a restart is required. You might want to look at mod_revocator. It <br>> is another Apache module that can be configured to automatically <br>> retrieve CRLs and make them available to a running NSS database. The CRL <br>> isn't installed into the database but made available over PKCS#11.<br>> <br>> ><br>> > and a final one:<br>> ><br>> > As you can see, Ive used the "B" option when importing the CRL, if not,<br>> > I get some errors about the CA validation<br>> > Now, to query the CRL DB list using the command<br>> ><br>> > crlutil -L -d /etc/httpd/alias/<br>> ><br>> > I get<br>> ><br>> > CRL names CRL Type<br>> ><br>> > crlutil: could not find signing certificate in database: security<br>> > library: bad database.<br>> > CN=BT/DigitalSign Qualified CA,OU=Class 2 Managed PKI Individual<br>> > Subscriber CA,OU=Terms of use at https://www.trustwise.com/rpa<br>> > (c)08,OU=VeriSign Trust Network,OU=LRA - DigitalSign Certificadora<br>> > Digital (PT507015851),O=British Telecommunications plc,C=GB CRL<br>> ><br>> > Can I ignore this crutil error? is my database bad? can this DB still be<br>> > used?<br>> <br>> Looks like you need to add the CA that is signing the CRL to your NSS <br>> database.<br>> <br>> rob<br>                                    </body>
</html>