Eu tenho um serviço de certificado do Windows instalado em uma VM do Windows Server 2008 R2 e o que preciso fazer é modificar os certificados NÃO para usar AIA e CRL, mas para usar SOMENTE o respondedor OCSP. O OCSP está instalado em outra VM que também executa o Windows Server 2008 R2 e está apontando para a CA e um modelo de certificado de resposta OCSP.
O que não consegui fazer foi remover o AIA e o CRL dos certificados. Alguém pode me ajudar com isso, pois tentei descobrir? Disseram-me que isso é possível!
Obrigado
Andy
Responder1
Embora isso não seja uma resposta, sugiro fortemente incluir a extensão CDP nos certificados emitidos:
- seu servidor OCSP será um ponto único de falha.
- O servidor Windows OCSP é baseado em CRL, portanto você ainda terá que fornecer referências de CRL ao seu servidor OCSP.
- você deve estar ciente de um aspecto do comportamento do CryptoAPI: quando o cliente recebe muitos certificados do mesmo emissor (o valor padrão é 50), o CryptoAPI interromperá a consulta OCSP e fará o download da CRL do emissor. Esta CRL é usada até expirar. Após a expiração da CRL, o cliente CryptoAPI inicia o uso do OCSP até que o número "mágico" de certificados do mesmo emissor seja encontrado. O cliente irá parar de trabalhar com OCSP e tentará usar CRL. Se o cliente CryptoAPI atingir esse número "mágico" e a CRL não estiver disponível, o mecanismo de encadeamento de certificados reportará o erro "RevocationOffline" para este emissor.
você não deve diminuir a confiabilidade da sua aplicação sem necessidade, contando que a extensão CDP não custa nada.
Responder2
Resolvido. Tudo o que precisei fazer foi remover a URL das AIAs e das CRLs. Isso impede que os atributos sejam adicionados ao certificado. Todas as verificações de revogação estão sendo feitas no ocsp por meio do Oracle Access Manager.