Eu tenho uma nova configuração do tomcat6.0.34 que estou configurando no meu CentOS 6.3 (64 bits). Baixei uma série de CRLs para as autoridades de certificação que estou usando, converti-as do DER para o PEM com o openssl:
openssl crl -inform DER -outform PEM -in f1.der -out f1.pem_crl
openssl crl -inform DER -outform PEM -in f2.der -out f2.pem_crl
Eu então construo um pacote crl com todos os pem_crls (termina com um 283 MB crl):
cat *.pem_crl > CRL-bundle.crl
Por fim, movo para / etc / ssl / certs
mv CRL-bundle.crl /etc/ssl/certs
Eu configuro meu conector da seguinte forma:
<Connector port="8080" protocol="HTTP/1.1"
SSLEnabled="true"
maxHttpHeaderSize="8192"
maxThreads="150"
minSpareThreads="25"
maxSpareThreads="75"
enableLookups="false"
acceptCount="100"
disableUploadTimeout="true"
compression="on"
compressableMimeType="text/html,text/xml,text/plain,text/css,text/
javascript,application/xml,application/x-javascript,application/javascript"
connectionTimeout="20000"
secure="true"
keystorePass="mykeystorepass"
truststoreFile="/etc/ssl/certs/my.truststore"
truststorePass="mytruststorepass"
clientAuth="true"
sslProtocol="TLS"
crlFile="/etc/ssl/certs/CRL-bundle.crl"
redirectPort="8443" />
Quando eu tento iniciar o tomcat6 assim, apenas uma entrada aparece na minha catalina.out
Nov 20, 2012 8:58:29 AM org.apache.catalina.core.AprLifecycleListener init
INFO: The APR based Apache Tomcat Native library which allows optimal performance in production environments was not found on the java.library.path: /usr/java/packages/lib/amd64:/usr/lib64:/lib64:/lib:/usr/lib
Se eu remover a referência crlFile no server.xml, tudo funcionará bem (exceto as pesquisas em crl, é claro). O sistema é iniciado, o aplicativo é acessível, ele solicita o certificado ...
Quaisquer pensamentos sobre o motivo do fracasso seriam bem-vindos.