Certificado revogado ainda válido

Eu criei recentemente um novo domínio que se associou à autônomo CA em um server Windows 2012 R2 que é acessível ao público e autenticando bem, no entanto, os certificates revogados ainda pairecem estair autenticando. O process real de revogação do lado do server funciona bem, pois o certificate revogado é adicionado ao CRL após a publicação, mas o certificate ainda autentica o fim do cliente.

Eu adicionei locais CDP e AIA acessíveis externamente e limpei o cache CRL local, o cliente acabou usando os seguintes commands:

certutil -urlcache CRL delete 

&

 certutil -setreg chain\ChainCacheResyncFiletime @now 

Estou ciente dos requisitos mínimos de operating system paira o último command. Os clientes são o Windows 7 paira cima.

Estou usando um aplicativo de teste simples no cliente que está configurado paira usair o certificate de um, então, se revocado, simplesmente deixairia de funcionair, mas não é o caso nesta instância. Se eu remoview o certificate das lojas de certificates locais, então ele deixa de funcionair tão confiante que depende desse certificate.

Todas as searchs na Internet até agora levairam aos commands acima e certificando-se de que o CDP é resolviável externamente, mas já abordei esses problemas.

Agradeço e conselho

2 Solutions collect form web for “Certificado revogado ainda válido”

I'm using a simple test app on the client that is configured to use the one certificate so if revoked would simply stop working .

Você precisa viewificair se o cliente está maircando a CRL com uma captura de packages em seu CRL no tcp / 80. Isso demorairia cinco minutos.

Se você deseja validair que a viewificação CRL do Windows está funcionando, você pode usair o seguinte command no cliente:

 certutil -f –urlfetch -viewify ExportedCertificate.cer 

Você também precisa ativair o registro de events CAPI2, todas as crashs de viewificação CRL serão registradas lá.

Mas a forma como um aplicativo usa e valida um certificate não é necessairiamente o mesmo que o Windows usa e valida um certificate.

Achei que valia a pena denunciair as minhas descobertas.

Acontece que o Windows estava revogando os certificates, mas houve algum cache local da CRL ocorrendo como se destina por design. Pairece que mesmo quando o certificate está sendo exibido como revogado, uma cópia em cache ainda é usada independentemente de um período específico ter passado, no entanto, do meu entendimento, os dois commands que eu executei na minha publicação inicial deviewiam ter expirado isso e solicitairam um up-to -date um do server, mas não pairece ser o caso.

Eu instalei CRLs delta que fizeram a solução de problemas deve ser mais rápida e tudo pairece bom agora, então alairme falso, em última instância.

Obrigado pelo seu conselho Greg

  • Como auditair novos files no server de files do Windows (DFS)?
  • Configure o RDS em vários serveres usando o PowerShell
  • Exporte ou conviewta máquina virtual Hyper-V paira OVA / OVF
  • Windows 2012 saída do server DNS
  • Sugestões paira delegação de pessoal de TI
  • GPOs não aplicam; motivo: Inacessível, vazio ou desativado; Servidor 2012 R2 e Windows 10
  • SBS 2011 paira Serview 2012 R2 Essentials
  • Como acessair uma máquina virtual do Google Cloud a pairtir de um laptop com monitores externos duplos?
  • Defina o IP padrão da interface do Windows Serview com vários IPs