<div dir="ltr"><div>Hi Razvan,</div><div>another question about crl_list, when crl list changed, what is the best way to reload this list in OpenSIPS memory ? restart it ? or another way ?</div><div>I know the crl_list can change each day, so if I have to restart opensips each day, it's not very practical.</div><div><br></div><div>thanks in advance</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le mar. 25 juil. 2023 à 14:47, Mickael Hubert <<a href="mailto:mickael@winlux.fr">mickael@winlux.fr</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Hi Razvan,</div><div>Thanks a lot.</div><div>I loaded the CRL for CA and certs and opensips start correctly ;)</div><div><br></div><div>Have a good day !</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le lun. 24 juil. 2023 à 16:07, Răzvan Crainea <<a href="mailto:razvan@opensips.org" target="_blank">razvan@opensips.org</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi, Mickael!<br>
<br>
I don't have much experience with this, but a first search would point <br>
to this [1] answer, which seems reasonable to me: you need to provide <br>
the CRL of the entire path, not only of your intermediate cert. Did you <br>
try that?<br>
<br>
[1] <a href="https://stackoverflow.com/a/47398918" rel="noreferrer" target="_blank">https://stackoverflow.com/a/47398918</a><br>
<br>
Best regards,<br>
<br>
Răzvan Crainea<br>
OpenSIPS Core Developer<br>
<a href="http://www.opensips-solutions.com" rel="noreferrer" target="_blank">http://www.opensips-solutions.com</a><br>
<br>
On 7/19/23 15:47, Mickael Hubert wrote:<br>
> Hi all,<br>
> I'm working on stir and shaken, and I want to include all revoked <br>
> certificates.<br>
> I my list in DER format, I use this command to transform it to PEM format:<br>
> openssl crl -in man_crl.der -inform DER -outform PEM -out crl.pem<br>
> <br>
> there is no erreur, I can read pem format (crl.pem):<br>
> -----BEGIN X509 CRL-----<br>
> ....<br>
> -----END X509 CRL-----<br>
> <br>
> I configured opensips with this:<br>
> modparam("stir_shaken", "crl_list", "/etc/opensips/stir-shaken-ca/crl.pem")<br>
> <br>
> but I have an error:<br>
> ul 19 12:39:07 [12] INFO:stir_shaken:verify_callback: certificate <br>
> validation failed: unable to get certificate CRL<br>
> Jul 19 12:39:07 [12] INFO:stir_shaken:w_stir_verify: Invalid certificate<br>
> <br>
> Can you tell me, what is exactly the correct format please ?<br>
> <br>
> Thanks in advance !<br>
> ++<br>
> <br>
> _______________________________________________<br>
> Users mailing list<br>
> <a href="mailto:Users@lists.opensips.org" target="_blank">Users@lists.opensips.org</a><br>
> <a href="http://lists.opensips.org/cgi-bin/mailman/listinfo/users" rel="noreferrer" target="_blank">http://lists.opensips.org/cgi-bin/mailman/listinfo/users</a><br>
<br>
_______________________________________________<br>
Users mailing list<br>
<a href="mailto:Users@lists.opensips.org" target="_blank">Users@lists.opensips.org</a><br>
<a href="http://lists.opensips.org/cgi-bin/mailman/listinfo/users" rel="noreferrer" target="_blank">http://lists.opensips.org/cgi-bin/mailman/listinfo/users</a><br>
</blockquote></div></div>
</blockquote></div></div>