Назад | Перейти на главную страницу

Сертификат интрасети, подписанный настраиваемым корневым центром сертификации: я вижу, что функция отзыва не смогла проверить

Задний план

У меня есть набор внутренних веб-сайтов компании, на которых должны быть сертификаты TLS. Я просмотрел целую кучу руководств и в итоге использовал OpenSSL для создания самозаверяющего корневого сертификата. Затем я использовал этот сертификат для подписи сертификатов серверов для внутренних веб-сайтов.

Наконец, я вручную добавил корневой сертификат в доверенные корневые хранилища и брелки на всех наших компьютерах. Все вроде бы хорошо. На всех сайтах был изображен зеленый замок. Однако сегодня я обнаружил проблему.

Эта проблема

Один из внутренних сайтов - это установка Github Enterprise. Я попытался подключиться к нему с помощью программы GitHub Desktop и получил следующее сообщение:

schannel: next Ошибка инициализацииSecurityContext: Неизвестная ошибка (0x80092012) - функции отзыва не удалось проверить отзыв сертификата.

Честно говоря, понятия не имею, что делать, чтобы это исправить. Любая помощь будет принята с благодарностью, даже если это просто способ обойти ошибку.

  1. Когда центр сертификации выдает сертификат на защищенный веб-сайт, этот сертификат обычно содержит информацию, которая позволяет браузеру клиента проверить, что сертификат не был выпущен по ошибке (или был скомпрометирован) и впоследствии отозван центром сертификации.
  2. Центры сертификации (ЦС) необходимы для отслеживания отмененных сертификатов SSL. После того, как центр сертификации (ЦС) отзывает сертификат SSL, ЦС берет серийный номер сертификата и добавляет его в свой список отзыва сертификатов (CRL). URL-адрес списка отзыва сертификатов центра сертификации содержится в каждом сертификате SSL в поле «Точки распространения CRL».

Следующий шаг (сейчас не покрывается ошибкой, но появится следующим)

  1. Чтобы проверить статус отзыва сертификата SSL, клиент подключается к URL-адресам и загружает списки отзыва сертификатов CA. Затем клиент ищет в CRL серийный номер сертификата, чтобы убедиться, что он не был отозван.

Таким образом, вы должны

  • Иметь «точки распространения CRL» во всех выданных вами сертификатах (см. Страница руководства x509v3_config для получения подробной информации о формате раздела # extension)
  • Заполните «Точки распространения CRL» действительными данными
  • Иметь список в правильном (понятном для инструментов клиента) формате