¿Cuáles son las posibles causas del error de validación de CRL?
Administro una red con mi CA autofirmada. Pero desde hace tres semanas,todode mis clientes de RDP comenzaron a decir que no habían validado la CRL. Pensé que el servidor web que aloja CRL estaba muerto, pero en realidad no lo estaba. Pude acceder a la CRL sin problemas. No hice absolutamente nada con la CRL cuando comenzó el error.
Google me dio pocas pistas, la mayoría de las soluciones simplemente desactivaban la validación CRL. Pero realmente quiero solucionarlo, no simplemente ignorarlo. Intenté regenerar el archivo CRL pero no funcionó.
openssl -gencrl -out crl/crl.pem
El anterior es el comando que utilicé para generar la CRL, sencillo. Ese es el mismo comando que también usé cuando generé la primera CRL. Pero la CRL generada esta vez no funciona.
¿Qué más debería buscar?
Respuesta1
Eso es lo que pasa con los certificados SSL. No tienes que hacer nada para que dejen de funcionar. Caducan por sí solos. También debe renovar las CRL. Para Escritorio remoto, realmente debería utilizar una CA empresarial de Windows en un dominio de Active Directory, y no OpenSSL. Automatizará la mayoría de estas cosas por usted. Sin embargo, no tengo suficientes detalles para determinar qué más está mal con su configuración tal como está.
Para responder a su pregunta, "¿qué causa los errores de validación de CRL?"
En realidad, sólo dos cosas. O el cliente no puede acceder al punto de distribución de CRL (CDP) o la CRL ha caducado.
Utilice este comando para verificar la exactitud/validez de un certificado, incluidos los CDP:
certutil -f –urlfetch -verify mycertificatefile.cer
¿Está utilizando solo CDP HTTP o también tiene CDP LDAP? Si tiene CDP de LDAP, ¿recuerda publicar CRL actualizadas en Active Directory? ¿Los clientes que intentan validar los CDP de LDAP son miembros del mismo dominio de Active Directory para que tengan permisos para leer la CRL de LDAP?
http://blogs.technet.com/b/pki/archive/2006/11/30/basic-crl-checking-with-certutil.aspx