Certificado revogado ainda válido

Eu criei recentemente um novo domínio que se associou à autônomo CA em um server Windows 2012 R2 que é acessível ao público e autenticando bem, no entanto, os certificates revogados ainda pairecem estair autenticando. O process real de revogação do lado do server funciona bem, pois o certificate revogado é adicionado ao CRL após a publicação, mas o certificate ainda autentica o fim do cliente.

Eu adicionei locais CDP e AIA acessíveis externamente e limpei o cache CRL local, o cliente acabou usando os seguintes commands:

certutil -urlcache CRL delete 

&

 certutil -setreg chain\ChainCacheResyncFiletime @now 

Estou ciente dos requisitos mínimos de operating system paira o último command. Os clientes são o Windows 7 paira cima.

Estou usando um aplicativo de teste simples no cliente que está configurado paira usair o certificate de um, então, se revocado, simplesmente deixairia de funcionair, mas não é o caso nesta instância. Se eu remoview o certificate das lojas de certificates locais, então ele deixa de funcionair tão confiante que depende desse certificate.

Todas as searchs na Internet até agora levairam aos commands acima e certificando-se de que o CDP é resolviável externamente, mas já abordei esses problemas.

Agradeço e conselho

2 Solutions collect form web for “Certificado revogado ainda válido”

I'm using a simple test app on the client that is configured to use the one certificate so if revoked would simply stop working .

Você precisa viewificair se o cliente está maircando a CRL com uma captura de packages em seu CRL no tcp / 80. Isso demorairia cinco minutos.

Se você deseja validair que a viewificação CRL do Windows está funcionando, você pode usair o seguinte command no cliente:

 certutil -f –urlfetch -viewify ExportedCertificate.cer 

Você também precisa ativair o registro de events CAPI2, todas as crashs de viewificação CRL serão registradas lá.

Mas a forma como um aplicativo usa e valida um certificate não é necessairiamente o mesmo que o Windows usa e valida um certificate.

Achei que valia a pena denunciair as minhas descobertas.

Acontece que o Windows estava revogando os certificates, mas houve algum cache local da CRL ocorrendo como se destina por design. Pairece que mesmo quando o certificate está sendo exibido como revogado, uma cópia em cache ainda é usada independentemente de um período específico ter passado, no entanto, do meu entendimento, os dois commands que eu executei na minha publicação inicial deviewiam ter expirado isso e solicitairam um up-to -date um do server, mas não pairece ser o caso.

Eu instalei CRLs delta que fizeram a solução de problemas deve ser mais rápida e tudo pairece bom agora, então alairme falso, em última instância.

Obrigado pelo seu conselho Greg

  • Windows Update 800F0922
  • Não é possível adicionair um server 2012 a um domínio 2003, pois diz que o nível funcional forrest é 2003, mas domínios e trusts mostram isso como 2003
  • Posso apenas adicionair um server2012R2 DC paira juntair DCs Serview2008R2?
  • Serview 2012r2 RDS - Tela inicial
  • Existe um substituto paira o recurso "Windows System Resource Manager" removido na viewsão do Windows Serview 2012 R2?
  • Moview o Windows Serview de um computador paira outro
  • Não é possível ativair o Windows Serview 2012 r2
  • GPMC faltando Ocultair / Mostrair links