CRL 유효성 검사 오류의 가능한 원인은 무엇입니까?
자체 서명된 CA로 네트워크를 운영하고 있습니다. 그런데 3주 전부터모두내 RDP 클라이언트 중 일부는 CRL을 검증하지 못했다고 말하기 시작했습니다. CRL을 호스팅하는 웹서버가 죽은 줄 알았는데 사실은 그렇지 않았습니다. 문제 없이 CRL에 액세스할 수 있었습니다. 오류가 처음 시작되었을 때 CRL에 아무 작업도 수행하지 않았습니다.
Google은 나에게 거의 단서를 제공하지 않았으며 대부분의 솔루션은 CRL 유효성 검사를 끄는 것뿐이었습니다. 하지만 그냥 무시하는 것이 아니라 정말 고치고 싶습니다. CRL 파일을 재생성하려고 시도했지만 작동하지 않았습니다.
openssl -gencrl -out crl/crl.pem
위의 내용은 CRL을 생성하는 데 사용한 명령입니다. 간단합니다. 이는 첫 번째 CRL을 생성할 때 사용한 것과 동일한 명령입니다. 그런데 이번에 생성된 CRL이 작동하지 않습니다.
또 무엇을 찾아야 합니까?
답변1
SSL 인증서에 관한 것입니다. 작동을 멈추기 위해 아무것도 할 필요가 없습니다. 그들은 스스로 만료됩니다. CRL도 갱신해야 합니다. 원격 데스크톱의 경우 OpenSSL이 아닌 Active Directory 도메인에서 Windows Enterprise CA를 사용해야 합니다. 이 기능은 대부분의 작업을 자동화합니다. 그래도 설정에 다른 문제가 있는지 알아낼 만큼 세부 정보가 충분하지 않습니다.
귀하의 질문에 대답하려면 "CRL 유효성 검사 오류의 원인은 무엇입니까?"
정말 딱 두 가지만요. 클라이언트가 CDP(CRL 배포 지점)에 액세스할 수 없거나 CRL이 만료되었습니다.
CDP를 포함하여 인증서의 정확성/유효성을 확인하려면 이 명령을 사용하십시오.
certutil -f –urlfetch -verify mycertificatefile.cer
HTTP CDP만 사용하고 있습니까, 아니면 LDAP CDP도 있습니까? LDAP CDP가 있는 경우 Active Directory에 업데이트된 CRL을 게시하는 것을 기억하고 있습니까? LDAP에서 CRL을 읽을 수 있는 권한을 얻기 위해 동일한 Active Directory 도메인의 LDAP CDP 구성원을 검증하려는 클라이언트가 있습니까?
http://blogs.technet.com/b/pki/archive/2006/11/30/basic-crl-checking-with-certutil.aspx