Windows Server 2008 R2 VM에 Windows 인증서 서비스가 설치되어 있는데 AIA 및 CRL을 사용하지 않고 OCSP 응답자만 사용하도록 인증서를 수정해야 합니다. OCSP는 Windows Server 2008 R2를 실행하는 다른 VM에 설치되어 있으며 CA 및 OCSP 응답자 인증서 템플릿을 가리키고 있습니다.
내가 할 수 없었던 것은 인증서에서 AIA와 CRL을 제거하는 것입니다. 내가 찾으려고 노력한 것처럼 누군가 나를 도와줄 수 있습니까? 가능하다고 들었습니다!
감사해요
앤디
답변1
이것이 정답은 아니지만, 발급된 인증서에 CDP 확장을 포함하는 것이 좋습니다.
- OCSP 서버는 단일 실패 지점이 됩니다.
- Windows OCSP 서버는 CRL 기반이므로 OCSP 서버에 CRL 참조를 제공해야 합니다.
- CryptoAPI 동작 측면 중 하나에 대해 알고 있어야 합니다. 클라이언트가 동일한 발급자로부터 많은 인증서를 받으면(기본값은 50) CryptoAPI는 OCSP 쿼리를 중지하고 발급자 CRL을 다운로드합니다. 이 CRL은 만료될 때까지 사용됩니다. CRL 만료 후 CryptoAPI 클라이언트는 동일한 발급자의 "마법의" 인증서 수에 도달할 때까지 OCSP 사용을 시작합니다. 클라이언트는 OCSP 작업을 중지하고 CRL을 사용하려고 시도합니다. CryptoAPI 클라이언트가 해당 "마법의" 숫자에 도달하고 CRL을 사용할 수 없는 경우 인증서 체인 엔진은 이 발급자에 대해 "RevocationOffline" 오류를 보고합니다.
CDP 확장에는 비용이 전혀 들지 않으므로 필요 없이 애플리케이션 안정성을 저하해서는 안 됩니다.
답변2
해결되었습니다. 내가 해야 할 일은 AIA와 CRL에서 URL을 제거하는 것뿐이었습니다. 그러면 인증서에 속성이 추가되는 것이 중지됩니다. 모든 해지 확인은 Oracle Access Manager를 통해 ocsp에서 수행됩니다.