Sorry, you are right - CAfile/CApath must always be there in order to successfully start stunnel. This is what i tested so far:<br />CAfile and verify 2 - all clients can connect<br />CApath and verify 3 - only clients with certs in CAfile/CApath can connect<br />CAfile and CRLpath with verify 3 - no clients can connect because there is no client certs in CAfile and CRLpath is ignored<br /> <div id="sig_upper"> </div>CApath and CRLpath with verify 3 - only clients with certs in CApath can connect, CRLpath is ignored<br />CAfile and CRLpath with verify 2 - all clients can connect and CRLpath is ignored<br /> <br /> <div class="noTransl">CitÄ“jot <strong>yyy <a href="mailto:yyy@yyy.id.lv"><yyy@yyy.id.lv></a></strong>:</div> <blockquote style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">On 2011.08.30. 15:19, Uldis Biks wrote:<br /> > Hi,<br /> ><br /> > I`m trying to achieve following setup with stunnel - accept only<br /> > clients with certificates not in Certificate Revocation List<br /> > (CRLpath), but no luck so far.<br /> > I`ve created self signed CA, created 3 certs and with following setup<br /> > i was able to achieve - accept only clients with certificates in<br /> > CApath or CAfile.<br /> ><br /> > cert = /root/stunnel_test/01.pem<br /> > chroot = /root/stunnel_test/chroot/<br /> > verify = 3<br /> > CApath = good_certs/<br /> > ciphers = 3DES:RC4-MD5:RC4-SHA:DES-CBC3-SHA:AES<br /> > debug = 7<br /> > output = /root/stunnel_test/stunnel.log<br /> > client = no<br /> > pid = /good_certs/stunnel.pid<br /> > foreground = yes<br /> > [pop3s]<br /> > accept = localhost:37171<br /> > connect = localhost:22<br /> ><br /> > but when i change CApath to CRLpath and verify from 3 to 2, i can<br /> > connect with all certs and client is not disconnected based on<br /> > revocation list.<br /> ><br /> > Can someone help me out? Thanks!<br /> ><br /> > stunnel -version<br /> > stunnel 4.29 on i386-redhat-linux-gnu with OpenSSL 1.0.0-fips 29 Mar 2010<br /> > Threading:PTHREAD SSL:ENGINE Sockets:POLL,IPv6 Auth:LIBWRAP<br /> ><br /> CRLpath does not replace CApath. Verifying certificate requires both.<br /> I tried to replace CAfile with CRLfile and stunnel refused to start (it<br /> refuses to start, if there is missing CAfile/CApath)<br /> How did you manage to start stunnel with CApath missing?<br /> _______________________________________________<br /> stunnel-users mailing list<br /> stunnel-users@stunnel.org<br /> http://stunnel.mirt.net/mailman/listinfo/stunnel-users</blockquote><br /> <br /> <div id="sig_lower"> </div>