Каковы возможные причины ошибки проверки CRL?
Я запускаю сеть с самозаверяющим ЦС. Но с трех недель назад все моих клиентов RDP начали говорить, что им не удалось проверить CRL. Я думал, что веб-сервер, на котором размещается CRL, мертв, но на самом деле это не так. Я мог получить доступ к CRL без проблем. Я ничего не сделал с CRL, когда впервые возникла ошибка.
Google дал мне небольшую подсказку, большинство решений просто отключили проверку CRL. Но я действительно хочу это исправить, а не просто игнорировать. Я попытался восстановить файл CRL, но это не сработало.
openssl -gencrl -out crl/crl.pem
Выше приведена команда, которую я использовал для простого создания CRL. Это та самая команда, которую я использовал при создании первого CRL. Но созданный на этот раз CRL не работает.
Что еще мне следует искать?
Вот в чем дело с сертификатами SSL. Вам не нужно ничего делать, чтобы они перестали работать. Срок их действия истекает сам по себе. Вам также необходимо обновить CRL. Для удаленного рабочего стола вам действительно следует использовать Windows Enterprise CA в домене Active Directory, а не OpenSSL. Он автоматизирует для вас большую часть этого материала. У меня недостаточно подробностей, чтобы понять, что еще не так с вашей настройкой.
Чтобы ответить на ваш вопрос, "что вызывает ошибки проверки CRL?"
На самом деле всего две вещи. Либо клиент не может получить доступ к точке распространения CRL (CDP), либо срок действия CRL истек.
Используйте эту команду для проверки правильности / действительности сертификата, включая CDP:
certutil -f –urlfetch -verify mycertificatefile.cer
Вы используете только HTTP CDP или у вас также есть LDAP CDP? Если у вас есть CDP LDAP, не забываете ли вы публиковать обновленные списки отзыва сертификатов в Active Directory? Ваши клиенты пытаются проверить членов CDP LDAP в одном домене Active Directory, чтобы у них были разрешения на чтение CRL из LDAP?
http://blogs.technet.com/b/pki/archive/2006/11/30/basic-crl-checking-with-certutil.aspx