I tried that - CAfile and CRLfile with verify 2, client can connect with certificate in CRLfile.<br />CRLpath contains certs with symlinks to cert_hash.0<br /> <div id="sig_upper"> </div><br /> <br /> <div class="noTransl">Citējot <strong>yyy <a href="mailto:yyy@yyy.id.lv"><yyy@yyy.id.lv></a></strong>:</div> <blockquote style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><style type="text/css">
/*<![CDATA[*/
 blockquote.c5 {border-left: #000000 2px solid; margin-left: 5px; margin-right: 0px; padding-left: 5px; padding-right: 0px}
 blockquote.c4 {border-left: #cccccc          1px solid; margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex}
 div.c3 {background: #e4e4e4; font: 10pt arial; }
 div.c2 {font: 10pt arial}
 div.c1 {font-family: Arial; font-size: 80%}
/*]]>*/
</style> <div class="c1">hmm, it works for me. (CAfile and CRLfile vith verify=2). What is the contents of your CRLpath?</div> <div class="c1">It is supposed to contain CRL's.</div> <blockquote style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">   <div class="c2">----- Original Message -----</div>   <div class="c3"><strong>From:</strong> <a href="mailto:biks_u@inbox.lv" title="biks_u@inbox.lv">Uldis Biks</a></div>   <div class="c2"><strong>To:</strong> <a href="mailto:stunnel-users@stunnel.org" title="stunnel-users@stunnel.org">stunnel-users@stunnel.org</a></div>   <div class="c2"><strong>Sent:</strong> Wednesday, August 31, 2011 9:09 AM</div>   <div class="c2"><strong>Subject:</strong> Re: [stunnel-users] CRL</div>   <div> </div>Sorry, you are right - CAfile/CApath must always be there in order to successfully start stunnel. This is what i tested so far:<br />   CAfile and verify 2 - all clients can connect<br />   CApath and verify 3 - only clients with certs in CAfile/CApath can connect<br />   CAfile and CRLpath with verify 3 - no clients can connect because there is no client certs in CAfile and CRLpath is ignored<br />   <div> </div>CApath and CRLpath with verify 3 - only clients with certs in CApath can connect, CRLpath is ignored<br />   CAfile and CRLpath with verify 2 - all clients can connect and CRLpath is ignored<br />   <br />   <div>Citējot <strong>yyy <a href="mailto:yyy@yyy.id.lv"><yyy@yyy.id.lv></a></strong>:</div>   <blockquote style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">     On 2011.08.30. 15:19, Uldis Biks wrote:<br />     > Hi,<br />     ><br />     > I`m trying to achieve following setup with stunnel - accept only<br />     > clients with certificates not in Certificate Revocation List<br />     > (CRLpath), but no luck so far.<br />     > I`ve created self signed CA, created 3 certs and with following setup<br />     > i was able to achieve - accept only clients with certificates in<br />     > CApath or CAfile.<br />     ><br />     > cert = /root/stunnel_test/01.pem<br />     > chroot = /root/stunnel_test/chroot/<br />     > verify = 3<br />     > CApath = good_certs/<br />     > ciphers = 3DES:RC4-MD5:RC4-SHA:DES-CBC3-SHA:AES<br />     > debug = 7<br />     > output = /root/stunnel_test/stunnel.log<br />     > client = no<br />     > pid = /good_certs/stunnel.pid<br />     > foreground = yes<br />     > [pop3s]<br />     > accept = localhost:37171<br />     > connect = localhost:22<br />     ><br />     > but when i change CApath to CRLpath and verify from 3 to 2, i can<br />     > connect with all certs and client is not disconnected based on<br />     > revocation list.<br />     ><br />     > Can someone help me out? Thanks!<br />     ><br />     > stunnel -version<br />     > stunnel 4.29 on i386-redhat-linux-gnu with OpenSSL 1.0.0-fips 29 Mar 2010<br />     > Threading:PTHREAD SSL:ENGINE Sockets:POLL,IPv6 Auth:LIBWRAP<br />     ><br />     CRLpath does not replace CApath. Verifying certificate requires both.<br />     I tried to replace CAfile with CRLfile and stunnel refused to start (it<br />     refuses to start, if there is missing CAfile/CApath)<br />     How did you manage to start stunnel with CApath missing?<br />     _______________________________________________<br />     stunnel-users mailing list<br />     stunnel-users@stunnel.org<br />     http://stunnel.mirt.net/mailman/listinfo/stunnel-users   </blockquote><br />   <br />   <div> </div>   <hr />   _______________________________________________<br />   stunnel-users mailing list<br />   stunnel-users@stunnel.org<br />   http://stunnel.mirt.net/mailman/listinfo/stunnel-users<br /> </blockquote> </blockquote><br /> <br /> <div id="sig_lower"> </div>