Я создал самозаверяющий сертификат корневого центра сертификации для внутреннего тестирования, используя openssl. Он был успешно установлен и без проблем использовался в качестве доверенного центра сертификации на ряде машин и платформ (Windows, Linux, различные клиенты Java / .NET / браузера).
Один пользователь (использующий WinXP SP3 / IE8) получает следующую ошибку при попытке импортировать сертификат ЦС в свое доверенное корневое хранилище: «Этот сертификат был отозван его центром сертификации»
CA ссылается на CRL, который я создал сам, но он пуст. Пользователь может вручную получить доступ к списку отзыва сертификатов, просмотреть его и подтвердить, что он пуст. Проверка CRL отключена в IE, но я предполагаю, что этот параметр может не применяться при заполнении хранилища сертификатов.
Что могло это объяснить? Есть ли способ, которым отозванный сертификат из другого ЦС, но с тем же отпечатком пальца может привести к тому, что мой сертификат ЦС будет помечен как отозванный?
Вот что происходит, когда их клиент не может получить доступ к вашему CRL.
Видеть http://support.microsoft.com/kb/289749:
В8: Какое сообщение об ошибке появляется в веб-браузере, если невозможно получить действующий список отзыва сертификатов? Отображается ли то же сообщение об ошибке, если получен CRL и если сертификат отозван?
A8: Да, вы получаете одно и то же сообщение об ошибке в обоих сценариях. Вы получаете следующее сообщение об ошибке:
HTTP 403.13 Forbidden: Client
certificate revoked
The page requires a valid client certificate
Хотя ветка очень старая, у меня есть ответ. Самозаверяющий сертификат можно отозвать в Windows, если он помещен в хранилище недоверенных сертификатов.
О CRL: даже если он представлен, клиент Microsoft CryptoAPI по умолчанию игнорирует CDP в самозаверяющем сертификате и проверяет на отзыв только не корневые сертификаты.