Ошибка проверки отзыва CRL.
Проблема с проверкой отзыва crl. Я могу telnet-целевой сервер через порт 80. Я могу скачать crl с помощью Internet Explorer. Но когда я запускаю certutil:
C:\Users\Administrateur\Desktop>certutil -urlfetch -verify alex.cer
Émetteur:
CN=get-SRV-DC-CA
DC=dom
DC=com
Hachage du nom (sha1) : a62888b8b494cc72d5b50a3401da695e28922316
Hachage du nom (md5) : c8c269fb24c05cd48f07ec444fa63f93
Objet:
E=A.NOM@domaineexch.com
CN=NOM Alexandre
Hachage du nom (sha1) : facbf33942c29a333aeea9ade9db538d3d530ff7
Hachage du nom (md5) : 01deefd4ec4bfb2d5bc80ed8221e486a
Numéro de série du certificat : 67f0382100000000a51b
dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
ChainContext.dwRevocationFreshnessTime: 5 Days, 47 Minutes, 28 Seconds
SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
SimpleChain.dwRevocationFreshnessTime: 5 Days, 47 Minutes, 28 Seconds
CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=1000040
Issuer: CN=get-SRV-DC-CA, DC=dom, DC=com
NotBefore: 01/03/2019 15:05
NotAfter: 29/02/2020 15:05
Subject: E=A.NOM@domaineexch.com, CN=NOM Alexandre
Serial: 67f0382100000000a51b
SubjectAltName: Autre nom :Nom principal=LOGIN@mailinterne.com
Template: 1.3.6.1.4.1.311.21.8.11025665.8001721.14437036.989286.1368235.196.5905011.1016426
Cert: 9b28759fd75d66d04ad135b17ea93f541ace19f6
Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
---------------- AIA de certificat ----------------
Échec "AIA" Heure : 0 (null)
Erreur lors de la récupération de l’URL : La ressource ou le périphérique réseau spécifié n’est plus disponible. 0x80070037 (WIN32: 55 ERROR_DEV_NOT_EXIST)
ldap:///CN=get-SRV-DC-CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=dom,DC=com?cACertificate?base?objectClass=certificationAuthority
Vérifié "Certificat (0)" Heure : 0 b3d1bb3362ec43aedafe4c3868805db4fcda5748
[1.0] http://SRV-DC.domain.com/CertEnroll/SRV-DC.domain.com_get-SRV-DC-CA.crt
---------------- CDP de certificat ----------------
Échec "CDP" Heure : 0 (null)
Erreur lors de la récupération de l’URL : La ressource ou le périphérique réseau spécifié n’est plus disponible. 0x80070037 (WIN32: 55 ERROR_DEV_NOT_EXIST)
ldap:///CN=get-SRV-DC-CA,CN=SRV-DC,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=dom,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint
Vérifié "Liste de révocation des certificats de base (0592)" Heure : 0 a467254541a842b5e0819fe02e61395baeb2b4e9
[1.0] http://SRV-DC.domain.com/CertEnroll/get-SRV-DC-CA.crl
Échec "CDP" Heure : 0 (null)
Erreur lors de la récupération de l’URL : La ressource ou le périphérique réseau spécifié n’est plus disponible. 0x80070037 (WIN32: 55 ERROR_DEV_NOT_EXIST)
[1.0.0] ldap:///CN=get-SRV-DC-CA,CN=SRV-DC,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=dom,DC=com?deltaRevocationList?base?objectClass=cRLDistributionPoint
Ancienne liste de révocation des certificats de base "Liste de révocation des certificats delta (0592)" Heure : 0 a467254541a842b5e0819fe02e61395baeb2b4e9
[1.0.1] http://SRV-DC.domain.com/CertEnroll/get-SRV-DC-CA.crl
---------------- CDP de liste de révocation des certificats de base ----------------
Échec "CDP" Heure : 0 (null)
Erreur lors de la récupération de l’URL : La ressource ou le périphérique réseau spécifié n’est plus disponible. 0x80070037 (WIN32: 55 ERROR_DEV_NOT_EXIST)
ldap:///CN=get-SRV-DC-CA,CN=SRV-DC,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=dom,DC=com?deltaRevocationList?base?objectClass=cRLDistributionPoint
OK "Liste de révocation des certificats de base (0592)" Heure : 0 a467254541a842b5e0819fe02e61395baeb2b4e9
[1.0] http://SRV-DC.domain.com/CertEnroll/get-SRV-DC-CA.crl
Échec "CDP" Heure : 0 (null)
Erreur lors de la récupération de l’URL : La ressource ou le périphérique réseau spécifié n’est plus disponible. 0x80070037 (WIN32: 55 ERROR_DEV_NOT_EXIST)
[1.0.0] ldap:///CN=get-SRV-DC-CA,CN=SRV-DC,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=dom,DC=com?deltaRevocationList?base?objectClass=cRLDistributionPoint
Ancienne liste de révocation des certificats de base "Liste de révocation des certificats delta (0592)" Heure : 0 a467254541a842b5e0819fe02e61395baeb2b4e9
[1.0.1] http://SRV-DC.domain.com/CertEnroll/get-SRV-DC-CA.crl
---------------- Protocole OCSP du certificat ----------------
Pas d’URL "Aucun" Heure : 0 (null)
--------------------------------
CRL 0592:
Issuer: CN=get-SRV-DC-CA, DC=dom, DC=com
ThisUpdate: 28/02/2019 13:55
NextUpdate: 08/03/2019 02:15
CRL: a467254541a842b5e0819fe02e61395baeb2b4e9
Application[0] = 1.3.6.1.5.5.7.3.2 Authentification du client
Application[1] = 1.3.6.1.5.5.7.3.4 Messagerie électronique sécurisée
CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
Issuer: CN=get-SRV-DC-CA, DC=dom, DC=com
NotBefore: 08/04/2015 13:36
NotAfter: 08/04/2020 13:45
Subject: CN=get-SRV-DC-CA, DC=dom, DC=com
Serial: 40d4e5b7f3288898496b6f9bb3f1a103
Template: CA
Cert: b3d1bb3362ec43aedafe4c3868805db4fcda5748
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
---------------- AIA de certificat ----------------
Pas d’URL "Aucun" Heure : 0 (null)
---------------- CDP de certificat ----------------
Pas d’URL "Aucun" Heure : 0 (null)
---------------- Protocole OCSP du certificat ----------------
Pas d’URL "Aucun" Heure : 0 (null)
--------------------------------
Exclude leaf cert:
Chain: 52a851a29e09dc1f1aec1fd5a640854e68361f94
Full chain:
Chain: 5046b50dfefc32be7c0c470bdb7ed2843ffc288a
Issuer: CN=get-SRV-DC-CA, DC=dom, DC=com
NotBefore: 01/03/2019 15:05
NotAfter: 29/02/2020 15:05
Subject: E=A.NOM@domaineexch.com, CN=NOM Alexandre
Serial: 67f0382100000000a51b
SubjectAltName: Autre nom :Nom principal=LOGIN@mailinterne.com
Template: 1.3.6.1.4.1.311.21.8.11025665.8001721.14437036.989286.1368235.196.5905011.1016426
Cert: 9b28759fd75d66d04ad135b17ea93f541ace19f6
La fonction de révocation n’a pas pu vérifier la révocation car le serveur de révocation était déconnecté. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
------------------------------------
Vérification de révocation ignorée -- le serveur est hors connexion
ERREUR : la vérification de l’état de révocation du certificat feuille a
renvoyé La fonction de révocation n’a pas pu vérifier la révocation car le serveur de révocation était déconnecté. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
CertUtil: La fonction de révocation n’a pas pu vérifier la révocation car le serveur de révocation était déconnecté.
CertUtil: -verify La commande s’est terminée correctement.
Спасибо за помощь.
1
задан Alex Lum
5 March 2019 в 17:28
Ссылка
1 ответ
El problema es con la URL http de Delta CRL, apunta al archivo CRL base. Tanto las CRL base como las delta tienen la misma URL, por lo que apuntan al mismo archivo, mientras que estos son archivos físicos separados.
Abra la consola de administración de CA (
certsrv.msc), seleccione propiedades de CA, cambie a la pestaña Extensiones. Asegúrese de que la URL HTTP para CDP termine con.crl abra la carpeta CertEnroll y asegúrese de que haya dos archivos crl . Uno de ellos incluye
+carácter en el nombre del archivo.
si hay dos archivos, asegúrese de que la CRL (con el signo más en el nombre del archivo) sea válida.
- Si las CRL http están alojadas en IIS, asegúrese de que el doble escape esté habilitado en IIS.
cuando se hayan solucionado todos los problemas mencionados, vuelva a publicar la CRL e intente certutil nuevamente.
4