<div dir="ltr"><div>Dear Strongswan team,</div><div><br></div><div>We are facing similar problem as reported by Shobhit here.</div><div>1. We had a CRL say "abc.pem" that was present in /etc/ipsec.d/crls. This was loaded correctly by Strongswan stack</div><div>2. However before the Nextupdate time expired, we got an updated CRL with certificate of peer revoked in it</div><div>3. Placed this updated CRL with same name "abc.pem" in same directory /etc/ipsec.d/crls and then executed "ipsec rereadcrls".</div><div><br></div><div>However it is noticed that Strongswan does not loads this CRL immediately. It only does that only after NextUpdate time of old CRL has expired.</div><div>Is there any way to force strongswan to reload the CRL file with same name but updated contents?</div><div><br></div><div>I mean this could be very much possible that a CA issues a new CRL before its NextUpdate time and then different Nodes should be able to take this CRL into use. Isn't it?</div><div><br></div><div>BR</div><div>Sajal</div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jan 27, 2014 at 8:10 PM, shobhit shingla <span dir="ltr"><<a href="mailto:coolshobhit7@gmail.com" target="_blank">coolshobhit7@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><br></div><div>Hi,</div><div><br></div><div>Here is the scenario</div><div><br></div><div>IPSEC CRL is present in /etc/ipsec.d/crls for revoked certificate of other side.</div><div>IPSEC tunnel is not established since certificate is revoked.</div>
<div><br></div><div>Now remove CRL file from /etc/ipsec.d/crls/ and run these commands</div><div><br></div><div>ipsec purgecrls</div><div>ipsec rereadcrls</div><div><br></div><div>Expected behaviour -</div><div>IPSEC CRL cache should be flushed after purgecrls</div>
<div><br></div><div>Now when ipsec rereadcrls is invoked, as now there are no crls in /etc/ipsec.d/crls, there should be no CRLs in the ipsec and hence ipsec listcrls should be empty.</div><div><br></div><div>Also IPSEC tunnel should now get established without restarting ipsec.</div>
<div><br></div><div><br></div><div>Actual behaviour</div><div>ipsec purgecrls command does not flush the CRL cache. This we have verified using ipsec listcrls commands after flushing.</div><div><br></div><div>ipsec tunnel is not established after crl is removed without restart. </div>
<div><br></div><div><br></div><div><br></div><div><br></div><div>Thanks and regards,</div><div>Shobhit</div></div>
<br>_______________________________________________<br>
Users mailing list<br>
<a href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a><br>
<a href="https://lists.strongswan.org/mailman/listinfo/users" target="_blank">https://lists.strongswan.org/mailman/listinfo/users</a><br></blockquote></div><br></div>