CRL 驗證錯誤的可能原因有哪些?
我使用自簽名 CA 運行網路。但從三週前開始,全部我的 RDP 客戶開始表示他們未能驗證 CRL。我以為託管 CRL 的網頁伺服器已經死了,但事實上並沒有。我可以毫無問題地訪問 CRL。當錯誤第一次出現時,我完全沒有對 CRL 進行任何操作。
Google 沒有給我任何線索,大多數解決方案只是關閉 CRL 驗證。但我想真正解決它,而不是忽視它。我嘗試重新生成 CRL 文件,但沒有成功。
openssl -gencrl -out crl/crl.pem
上面是我用來產生CRL的指令,簡單明了。這與我產生第一個 CRL 時使用的命令完全相同。但這次生成的CRL不起作用。
我還應該尋找什麼?
答案1
這就是 SSL 憑證的問題。您無需執行任何操作即可讓它們停止工作。它們會自行過期。您還必須更新 CRL。對於遠端桌面,您確實應該在 Active Directory 網域中使用 Windows Enterprise CA,而不是 OpenSSL。它將為您自動完成大部分工作。我沒有足夠的詳細資訊來確定您的設定還有什麼問題。
回答您的問題“是什麼導致 CRL 驗證錯誤?”
真的,只有兩件事。用戶端無法存取 CRL 分發點 (CDP),或 CRL 已過期。
使用此命令驗證證書(包括 CDP)的正確性/有效性:
certutil -f –urlfetch -verify mycertificatefile.cer
您僅使用 HTTP CDP,還是還擁有 LDAP CDP。如果您有 LDAP CDP,您是否記得在 Active Directory 中發布更新的 CRL?您的客戶是否正在嘗試驗證相同 Active Directory 網域的 LDAP CDP 成員,以便他們有權從 LDAP 讀取 CRL?
http://blogs.technet.com/b/pki/archive/2006/11/30/basic-crl-checking-with-certutil.aspx