Page History
...
For at aktivere en CRS tilføjes den til listen certificateRevocationSources.
Logning
CRA logger til filen cra.log
Der benyttes en rolling file appender, hvor størrelsen af log filerne og antallet af gemte log filer konfigureres med de to environment variable: LOG_MAX_FILE_SIZE og LOG_MAX_BACKUP_INDEX.
Overvågning
Der er følgende muligheder for at overvåge CRA.
...
URL | Beskrivelse |
---|---|
<serverurl>/cra/status | Viser en statussiden hvis servicen er ok, og der vil være information om hvilken aktivitet der har været. |
<serverurl>/cra/version | Viser den kørende version af CRA |
<serverurl>/cra/job/revokeUpdate/start | Denne URL starter opdateringen af revokeringslisterne inkl indlæsning af cache. |
<serverurl>/cra/job/revokeUpdate/status | Denne URL viser status af det seneste udførte revokeUpdate job |
<serverurl>/cra/job/cleanupRevocationLists/start | Denne URL starter oprydning af revokeringslisterne |
<serverurl>/cra/job/cleanupRevocationLists/status | Denne URL viser status af det seneste udførte cleanupRevocationLists job |
Oprydning
Der kan foretages løbende oprydning i historikken af revokerede certifikater, som findes i en given spærreliste, og hvis de ikke længere fremgår, så fjernes de.
Oprydning kan aktiveres af driften ved at kalde oprydningsjobbet.
Der er oprettet 4 forskellige oprydninger, som kan aktiveres og vil blive udført, hvis jobbet aktiveres:
- cleanIfRootExpiredActivated
Hvis et rodcertifikatet fra certificateRevocationSources (Se bootstap.xml) er udløbet, så findes id fra crl tabellen vha. certifikatets url (Se Endpoints), og bruges til at slette rækker fra revoked vha. crlid (Se Revokeringer).
Hvis der er et tilhørende intermediatecertifikat, så slettes det også på samme måde, som for rodcertifikatet. - cleanIfIntermediateExpiredActivated
Hvis ikke rodcertifikatet er udløbet, så checkes det om intermediatecertifikat er udløbet. Hvis det er udløbet, så slettes det på samme måde, som beskrevet for rodcertifikat. - cleanIfGhostUrlActivated
Hvis ikke rod- eller intermediatecertifikatet er expired. Så finder vi alle aktive url'er (både for rod- og intermediatecertifikater) fra certificateRevocationSources (Se Endpoints). Oplysninger tilknyttet certifikater som findes i cachen, men som ikke er aktive, slettes fra crl og revoked tabellen. - cleanIfGhostSerialNumberActivated
Hvis ikke rod- eller intermediatecertifikatet er expired. Hvis listen af revoked serialnumber (Se Revokeringer) indeholder værdier, der ikke kan findes i den aktive liste af serialnumbers, så slettes de fra databasen.