Tengo un servicio de certificados de Windows instalado en una máquina virtual con Windows Server 2008 R2 y lo que debo hacer es modificar los certificados para NO usar AIA y CRL, sino SOLO usar OCSP Responder. El OCSP está instalado en otra máquina virtual que también ejecuta Windows Server 2008 R2 y apunta a la CA y a una plantilla de certificado de respuesta OCSP.
Lo que no he podido hacer es quitar el AIA y el CRL de los certificados. ¿Alguien puede ayudarme con esto, ya que he tratado de encontrarlo? ¡Me han dicho que esto es posible!
Gracias
andy
Respuesta1
Aunque esto no es una respuesta, sugeriría encarecidamente incluir la extensión CDP en los certificados emitidos:
- su servidor OCSP será un único punto de falla.
- El servidor OCSP de Windows está basado en CRL, por lo que aún tendrá que proporcionar referencias de CRL a su servidor OCSP.
- Debe tener en cuenta un aspecto del comportamiento de CryptoAPI: cuando el cliente recibe muchos certificados del mismo emisor (el valor predeterminado es 50), CryptoAPI dejará de consultar OCSP y descargará la CRL del emisor. Esta CRL se utiliza hasta que caduque. Después de la expiración de la CRL, el cliente CryptoAPI inicia el uso de OCSP hasta que se enfrenta a una cantidad "mágica" de certificados del mismo emisor. El cliente dejará de trabajar con OCSP e intentará utilizar CRL. Si el cliente CryptoAPI alcanza ese número "mágico" y la CRL no está disponible, el motor de encadenamiento de certificados informará el error "Revocación sin conexión" para este emisor.
No debes disminuir la confiabilidad de tu aplicación sin necesidad, considerando que la extensión CDP no te cuesta nada.
Respuesta2
Resuelto. Todo lo que tenía que hacer era eliminar la URL de las AIA y las CRL. Esto detiene los atributos que se agregan al certificado. Todas las comprobaciones de revocación se realizan desde ocsp a través de Oracle Access Manager.