Возможные причины ошибки проверки CRL

tag-icon tag-icon windows ssl-certificate rdp
Возможные причины ошибки проверки CRL

Каковы возможные причины ошибки проверки CRL?

Я управляю сетью с моим самоподписанным CA. Но с тех пор, как три недели назад,всеиз моих RDP-клиентов начали говорить, что они не смогли проверить CRL. Я думал, что веб-сервер, на котором размещен CRL, мертв, но на самом деле это было не так. Я мог получить доступ к CRL без проблем. Я абсолютно ничего не делал с CRL, когда ошибка впервые началась.

Google дал мне мало подсказок, большинство решений просто отключали проверку CRL. Но я хочу действительно исправить это, а не просто игнорировать. Я пробовал перегенерировать файл CRL, но это не сработало.

openssl -gencrl -out crl/crl.pem

Выше приведена команда, которую я использовал для генерации CRL, просто. Это та же самая команда, которую я использовал, когда генерировал первый CRL. Но сгенерированный на этот раз CRL не работает.

На что еще мне следует обратить внимание?

решение1

Вот в чем проблема с SSL-сертификатами. Вам не нужно ничего делать, чтобы они перестали работать. Они истекают сами по себе. Вам также нужно обновлять CRL. Для удаленного рабочего стола вам действительно следует использовать Windows Enterprise CA в домене Active Directory, а не OpenSSL. Он автоматизирует большую часть этих вещей для вас. У меня недостаточно подробностей, чтобы понять, что еще не так с вашей настройкой в ​​том виде, в котором она есть.

Чтобы ответить на ваш вопрос: «Что является причиной ошибок проверки CRL?»

На самом деле, всего две вещи. Либо клиент не может получить доступ к точке распространения CRL (CDP), либо срок действия CRL истек.

Используйте эту команду для проверки правильности/действительности сертификата, включая CDP:

certutil -f –urlfetch -verify mycertificatefile.cer

Используете ли вы только HTTP CDP или у вас также есть LDAP CDP. Если у вас есть LDAP CDP, вы не забываете публиковать обновленные CRL в Active Directory? Являются ли ваши клиенты, которые пытаются проверить LDAP CDP, членами того же домена Active Directory, чтобы иметь разрешения на чтение CRL из LDAP?

http://blogs.technet.com/b/pki/archive/2006/11/30/basic-crl-checking-with-certutil.aspx

Связанный контент