CRL 検証エラーの考えられる原因は何ですか?
私は自己署名CAでネットワークを運営しています。しかし3週間前から、全て私の RDP クライアントの多くが、CRL の検証に失敗したと報告し始めました。CRL をホストしている Web サーバーがダウンしていると思いましたが、実際はそうではありませんでした。CRL には問題なくアクセスできました。エラーが最初に発生したとき、CRL に対して何もしていませんでした。
Google では手がかりがほとんどなく、解決策のほとんどは CRL 検証をオフにするだけのものでした。しかし、無視するだけでなく、本当に修正したいのです。CRL ファイルを再生成してみましたが、うまくいきませんでした。
openssl -gencrl -out crl/crl.pem
上記は、CRL を生成するために使用した単純なコマンドです。これは、最初の CRL を生成したときに使用したのとまったく同じコマンドです。ただし、今回生成された CRL は機能しません。
他に何を探せばいいでしょうか?
答え1
SSL 証明書にはそういう性質があります。証明書が機能しなくなるようにするために何かをする必要はありません。証明書は自動的に期限切れになります。CRL も更新する必要があります。リモート デスクトップの場合は、Active Directory ドメインで OpenSSL ではなく、Windows Enterprise CA を使用する必要があります。OpenSSL を使用すると、ほとんどの作業が自動化されます。ただし、現状では、セットアップに他に何が問題なのかを突き止めるのに十分な詳細がありません。
「CRL 検証エラーの原因は何ですか?」という質問に答えます。
実際には、2 つだけです。クライアントが CRL 配布ポイント (CDP) にアクセスできないか、CRL の有効期限が切れています。
このコマンドを使用して、CDP を含む証明書の正確性/有効性を確認します。
certutil -f –urlfetch -verify mycertificatefile.cer
HTTP CDP のみを使用していますか、それとも LDAP CDP も使用していますか。LDAP CDP を使用している場合、更新された CRL を Active Directory に公開することを忘れないでください。LDAP CDP を検証しようとしているクライアントは、LDAP から CRL を読み取る権限を持つように、同じ Active Directory ドメインのメンバーですか。
http://blogs.technet.com/b/pki/archive/2006/11/30/basic-crl-checking-with-certutil.aspx