Versions Compared

Old Version 6

changes.mady.by.user Unknown User (tbr@kvalitetsit.dk)

Saved on

compared with

New Version 7

changes.mady.by.user Unknown User (tbr@kvalitetsit.dk)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

For at aktivere en CRS tilføjes den til listen certificateRevocationSources.


Logning

CRA logger til filen cra.log

Der benyttes en rolling file appender, hvor størrelsen af log filerne og antallet af gemte log filer konfigureres med de to environment variable: LOG_MAX_FILE_SIZE og LOG_MAX_BACKUP_INDEX.

Overvågning

Der er følgende muligheder for at overvåge CRA.

...

URLBeskrivelse
<serverurl>/cra/statusViser en statussiden hvis servicen er ok, og der vil være information om hvilken aktivitet der har været.
<serverurl>/cra/versionViser den kørende version af CRA

<serverurl>/cra/job/revokeUpdate/start

Denne URL starter opdateringen af revokeringslisterne inkl indlæsning af cache.

<serverurl>/cra/job/revokeUpdate/status

Denne URL viser status af det seneste udførte revokeUpdate job

<serverurl>/cra/job/cleanupRevocationLists/start

Denne URL starter oprydning af revokeringslisterne

<serverurl>/cra/job/cleanupRevocationLists/status

Denne URL viser status af det seneste udførte cleanupRevocationLists job

Oprydning

Der kan foretages løbende oprydning i historikken af revokerede certifikater, som findes i en given spærreliste, og hvis de ikke længere fremgår, så fjernes de.

Oprydning kan aktiveres af driften ved at kalde oprydningsjobbet.

Der er oprettet 4 forskellige oprydninger, som kan aktiveres og vil blive udført, hvis jobbet aktiveres:

  • cleanIfRootExpiredActivated
    Hvis et rodcertifikatet fra certificateRevocationSources (Se bootstap.xml) er udløbet, så findes id fra crl tabellen vha. certifikatets url (Se Endpoints), og bruges til at slette rækker fra revoked vha. crlid (Se Revokeringer).
    Hvis der er et tilhørende intermediatecertifikat, så slettes det også på samme måde, som for rodcertifikatet.
  • cleanIfIntermediateExpiredActivated
    Hvis ikke rodcertifikatet er udløbet, så checkes det om intermediatecertifikat er udløbet. Hvis det er udløbet, så slettes det på samme måde, som beskrevet for rodcertifikat.
  • cleanIfGhostUrlActivated
    Hvis ikke rod- eller intermediatecertifikatet er expired. Så finder vi alle aktive url'er (både for rod- og intermediatecertifikater) fra certificateRevocationSources (Se Endpoints). Oplysninger tilknyttet certifikater som findes i cachen, men som ikke er aktive, slettes fra crl og revoked tabellen.
  • cleanIfGhostSerialNumberActivated
    Hvis ikke rod- eller intermediatecertifikatet er expired. Hvis listen af revoked serialnumber (Se Revokeringer) indeholder værdier, der ikke kan findes i  den aktive liste af serialnumbers, så slettes de fra databasen.