Назад | Перейти на главную страницу

Почему Windows может ложно утверждать, что самозаверяющий сертификат корневого ЦС отозван?

Я создал самозаверяющий сертификат корневого центра сертификации для внутреннего тестирования, используя openssl. Он был успешно установлен и без проблем использовался в качестве доверенного центра сертификации на ряде машин и платформ (Windows, Linux, различные клиенты Java / .NET / браузера).

Один пользователь (использующий WinXP SP3 / IE8) получает следующую ошибку при попытке импортировать сертификат ЦС в свое доверенное корневое хранилище: «Этот сертификат был отозван его центром сертификации»

CA ссылается на CRL, который я создал сам, но он пуст. Пользователь может вручную получить доступ к списку отзыва сертификатов, просмотреть его и подтвердить, что он пуст. Проверка CRL отключена в IE, но я предполагаю, что этот параметр может не применяться при заполнении хранилища сертификатов.

Что могло это объяснить? Есть ли способ, которым отозванный сертификат из другого ЦС, но с тем же отпечатком пальца может привести к тому, что мой сертификат ЦС будет помечен как отозванный?

Вот что происходит, когда их клиент не может получить доступ к вашему CRL.

Видеть http://support.microsoft.com/kb/289749:

В8: Какое сообщение об ошибке появляется в веб-браузере, если невозможно получить действующий список отзыва сертификатов? Отображается ли то же сообщение об ошибке, если получен CRL и если сертификат отозван?

A8: Да, вы получаете одно и то же сообщение об ошибке в обоих сценариях. Вы получаете следующее сообщение об ошибке:

HTTP 403.13 Forbidden: Client
certificate revoked 

The page requires a valid client certificate

Хотя ветка очень старая, у меня есть ответ. Самозаверяющий сертификат можно отозвать в Windows, если он помещен в хранилище недоверенных сертификатов.

О CRL: даже если он представлен, клиент Microsoft CryptoAPI по умолчанию игнорирует CDP в самозаверяющем сертификате и проверяет на отзыв только не корневые сертификаты.