У меня установлена служба сертификатов Windows на виртуальной машине Windows Server 2008 R2, и мне нужно изменить сертификаты так, чтобы они НЕ использовали AIA и CRL, а использовали ТОЛЬКО OCSP Responder. OCSP установлена на другой виртуальной машине, также работающей под управлением Windows Server 2008 R2, и указывает на CA и шаблон сертификата OCSP Responder.
Чего я не смог сделать, так это удалить AIA и CRL из сертификатов. Может кто-нибудь помочь мне с этим, как я пытался найти? Мне сказали, что это возможно!
Спасибо
Энди
решение1
Хоть это и не ответ, но я бы настоятельно рекомендовал включать расширение CDP в выдаваемые сертификаты:
- Ваш сервер OCSP станет единой точкой отказа.
- Сервер Windows OCSP основан на CRL, поэтому вам все равно придется предоставить ссылки CRL на ваш сервер OCSP.
- вам следует знать об одном аспекте поведения CryptoAPI: когда клиент получает много сертификатов от одного и того же эмитента (значение по умолчанию — 50), то CryptoAPI прекратит запрашивать OCSP и загрузит CRL эмитента. Этот CRL используется до истечения срока его действия. После истечения срока действия CRL клиент CryptoAPI начинает использовать OCSP до тех пор, пока не будет обнаружено «магическое» количество сертификатов от одного и того же эмитента. Клиент прекратит работу с OCSP и попытается использовать CRL. Если клиент CryptoAPI достигнет этого «магического» количества, а CRL недоступен, механизм цепочки сертификатов сообщит об ошибке «RevocationOffline» для этого эмитента.
не следует без необходимости снижать надежность вашего приложения, учитывая, что расширение CDP вам ничего не стоит.
решение2
Решено. Все, что мне нужно было сделать, это удалить URL из AIA и CRL. Это останавливает добавление атрибутов в сертификат. Все проверки отзыва выполняются из ocsp через Oracle Access Manager.