Отозванный сертификат все еще действителен
Я недавно установил новый домен, присоединенный к автономному центру сертификации на сервере Windows 2012 R2, который является общедоступным и аутентифицируется нормально, однако отозванные сертификаты все еще аутентифицируются. Фактический процесс отзыва на стороне сервера работает нормально, поскольку отозванный сертификат добавляется в CRL после публикации, но сертификат по-прежнему аутентифицирует клиентскую часть.
Я добавил доступные извне местоположения CDP и AIA и очистил локальный кэш CRL на стороне клиента, используя следующие команды:
certutil -urlcache CRL delete
&
certutil -setreg chain\ChainCacheResyncFiletime @now
Я знаю минимальные требования к ОС для последней команды. Клиенты - это Windows 7 и выше.
Я использую простое тестовое приложение на клиенте, которое настроено на использование одного сертификата, поэтому в случае его отмены просто перестанет работать, но в данном случае это не так. Если я удалю сертификат из локальных хранилищ сертификатов, он перестанет работать настолько уверенно, что зависит от этого сертификата.
Все поиски в Интернете до сих пор приводили к указанным выше командам и проверяли, что CDP разрешается извне, но я уже рассмотрел эти проблемы.
Я ценю и советую
Я использую простое тестовое приложение на клиенте, которое настроено на использование одного сертификата поэтому в случае отзыва просто перестанет работать .
Вам необходимо убедиться, что клиент проверяет CRL с перехватом пакетов в ваш CRL на tcp / 80. Это займет пять минут.
Если вы хотите убедиться, что проверка CRL Windows работает, вы можете использовать следующую команду на клиенте:
certutil -f –urlfetch -verify ExportedCertificate.cer
Также необходимо включить журнал событий CAPI2, любые ошибки проверки CRL будут
Но способ, которым приложение использует и проверяет сертификат, не обязательно совпадает с тем, как Windows будет использовать и проверять сертификат.
Կարծում էի, որ արժե զեկուցել իմ արդյունքների մասին:
Պարզվում է, որ Windows- ը հետ էր վերցնում վկայականները, բայց տեղի ունեցավ CRL- ի որոշ տեղական պահուստավորում նախատեսված է դիզայնի միջոցով: Թվում է, որ նույնիսկ այն դեպքում, երբ վկայականը հետ է կանչվում, պահված պատճենը դեռևս օգտագործվում է անկախ որոշակի ժամանակահատվածի անցնելուց, այնուամենայնիվ, իմ ընկալումից ելնելով, իմ նախնական հաղորդագրության մեջ աշխատած երկու հրամանները պետք է սպառվեին և պահանջեին արդիական - թվարկել մեկը սերվերից, բայց կարծես թե այդ դեպքը չէ:
Ես ներկայացրել եմ դելտա CRL- ներ, որոնք թույլ են տվել անսարքությունների վերացումն ավելի արագ, և վերջում բոլորն էլ լավ են թվում, ուստի կեղծ տագնապը:
Շնորհակալություն ձեր խորհուրդի համար Greg