Quais são as possíveis causas do erro de validação da CRL?
Eu administro uma rede com minha CA autoassinada. Mas desde há três semanas,todosdos meus clientes RDP começaram a dizer que não conseguiram validar a CRL. Achei que o servidor web que hospeda a CRL estava morto, mas na verdade não estava. Eu poderia acessar a CRL sem problemas. Não fiz absolutamente nada com a CRL quando o erro começou.
O Google me deu poucas pistas, a maioria das soluções consistia apenas em desativar a validação da CRL. Mas eu quero realmente consertar isso, não apenas ignorar. Tentei regenerar o arquivo CRL, mas não funcionou.
openssl -gencrl -out crl/crl.pem
O comando acima é o comando que usei para gerar a CRL, de forma simples. Esse é o mesmo comando que também usei quando gerei a primeira CRL. Mas a CRL gerada desta vez não está funcionando.
O que mais devo procurar?
Responder1
Esse é o problema com os certificados SSL. Você não precisa fazer nada para que eles parem de trabalhar. Eles expiram por conta própria. Você também precisa renovar as CRLs. Para a Área de Trabalho Remota, você realmente deveria usar uma CA do Windows Enterprise em um domínio do Active Directory, e não OpenSSL. Ele automatizará a maior parte dessas coisas para você. Não tenho detalhes suficientes para descobrir o que mais há de errado com sua configuração.
Para responder à sua pergunta, "o que causa erros de validação de CRL?"
Apenas duas coisas, na verdade. O cliente não pode acessar o ponto de distribuição da CRL (CDP) ou a CRL expirou.
Use este comando para verificar a exatidão/validade de um certificado, incluindo os CDPs:
certutil -f –urlfetch -verify mycertificatefile.cer
Você está usando apenas CDPs HTTP ou também possui CDPs LDAP. Se você possui CDPs LDAP, lembra-se de publicar CRLs atualizadas no Active Directory? Seus clientes que estão tentando validar os CDPs LDAP são membros do mesmo domínio do Active Directory para que tenham permissões para ler a CRL do LDAP?
http://blogs.technet.com/b/pki/archive/2006/11/30/basic-crl-checking-with-certutil.aspx