다음과 같이 루트 CA 및 서버 인증서를 만들었습니다.디디에스티븐스 블로그. 내 브라우저는 서버 인증서를 취소한 후에도 여전히 인증서를 신뢰합니다. 이전 CA 및 인증서에 대한 인증서 취소 오류 메시지가 표시되었습니다. 새 CA 및 인증서를 만들기 위해 동일한 블로그를 따라갔지만 지금은 작동하지 않습니다.
테스트 응용 프로그램을 IIS 10.0.10586.0에서 호스팅했으며 클라이언트 브라우저는 Chrome 63.0.3239.132 및 IE 11.1295.10586.0입니다. CRL 파일에 액세스할 수 있음을 확인했으며 두 브라우저 모두에서 인증 취소 확인이 켜져 있습니다. 그러나 여전히 CRL 확인이 이루어지지 않습니다.
답변1
인증서 취소는 처음에 인증서를 처리하는 브라우저/응용 프로그램에서 처리하는 프로세스입니다. 애플리케이션에 연결하고 인증서가 제공되면 먼저 일반 이름(또는 SAN)을 확인하여 서버 이름이 인증서와 일치하는지 확인합니다. 그 후에는 다른 검사(이 질문과 관련 없음)를 수행하고 결국 CRL 검사를 수행합니다.
CRL 확인을 위해서는 애플리케이션이 CRL 파일을 호스팅하는 나열된 서버(또는 OCSP 서버)에 연결하여 제시된 인증서가 여전히 유효한지 확인해야 합니다. 이는 발급 인증서로 CRL에 올바르게 서명해야 할 뿐만 아니라 클라이언트가 액세스할 수 있는 방식으로 CRL 파일을 호스팅해야 함을 의미합니다. CRL이 제대로 업데이트 및 서명되지 않으면 인증서가 여전히 유효한 방식으로 CRL 확인이 실패합니다.
처음에 CRL을 확인하는 클라이언트가 액세스할 수 있는 위치에 CRL을 호스팅했습니까?