Certificate
CRL 吊銷檢查失敗
crl 吊銷檢查問題。我可以在埠 80 上遠端登錄目標伺服器。我可以使用 Internet Explorer 下載 crl。但是當我啟動 certutil 時:
C:\Users\Administrateur\Desktop>certutil -urlfetch -verify alex.cer Émetteur: CN=get-SRV-DC-CA DC=dom DC=com Hachage du nom (sha1) : a62888b8b494cc72d5b50a3401da695e28922316 Hachage du nom (md5) : c8c269fb24c05cd48f07ec444fa63f93 Objet: E=A.NOM@domaineexch.com CN=NOM Alexandre Hachage du nom (sha1) : facbf33942c29a333aeea9ade9db538d3d530ff7 Hachage du nom (md5) : 01deefd4ec4bfb2d5bc80ed8221e486a Numéro de série du certificat : 67f0382100000000a51b dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000) dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000) ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000) HCCE_LOCAL_MACHINE CERT_CHAIN_POLICY_BASE -------- CERT_CHAIN_CONTEXT -------- ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40) ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000) ChainContext.dwRevocationFreshnessTime: 5 Days, 47 Minutes, 28 Seconds SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40) SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000) SimpleChain.dwRevocationFreshnessTime: 5 Days, 47 Minutes, 28 Seconds CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=1000040 Issuer: CN=get-SRV-DC-CA, DC=dom, DC=com NotBefore: 01/03/2019 15:05 NotAfter: 29/02/2020 15:05 Subject: E=A.NOM@domaineexch.com, CN=NOM Alexandre Serial: 67f0382100000000a51b SubjectAltName: Autre nom :Nom principal=LOGIN@mailinterne.com Template: 1.3.6.1.4.1.311.21.8.11025665.8001721.14437036.989286.1368235.196.5905011.1016426 Cert: 9b28759fd75d66d04ad135b17ea93f541ace19f6 Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40) Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000) ---------------- AIA de certificat ---------------- Échec "AIA" Heure : 0 (null) Erreur lors de la récupération de l’URL : La ressource ou le périphérique réseau spécifié n’est plus disponible. 0x80070037 (WIN32: 55 ERROR_DEV_NOT_EXIST) ldap:///CN=get-SRV-DC-CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=dom,DC=com?cACertificate?base?objectClass=certificationAuthority Vérifié "Certificat (0)" Heure : 0 b3d1bb3362ec43aedafe4c3868805db4fcda5748 [1.0] http://SRV-DC.domain.com/CertEnroll/SRV-DC.domain.com_get-SRV-DC-CA.crt ---------------- CDP de certificat ---------------- Échec "CDP" Heure : 0 (null) Erreur lors de la récupération de l’URL : La ressource ou le périphérique réseau spécifié n’est plus disponible. 0x80070037 (WIN32: 55 ERROR_DEV_NOT_EXIST) ldap:///CN=get-SRV-DC-CA,CN=SRV-DC,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=dom,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint Vérifié "Liste de révocation des certificats de base (0592)" Heure : 0 a467254541a842b5e0819fe02e61395baeb2b4e9 [1.0] http://SRV-DC.domain.com/CertEnroll/get-SRV-DC-CA.crl Échec "CDP" Heure : 0 (null) Erreur lors de la récupération de l’URL : La ressource ou le périphérique réseau spécifié n’est plus disponible. 0x80070037 (WIN32: 55 ERROR_DEV_NOT_EXIST) [1.0.0] ldap:///CN=get-SRV-DC-CA,CN=SRV-DC,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=dom,DC=com?deltaRevocationList?base?objectClass=cRLDistributionPoint Ancienne liste de révocation des certificats de base "Liste de révocation des certificats delta (0592)" Heure : 0 a467254541a842b5e0819fe02e61395baeb2b4e9 [1.0.1] http://SRV-DC.domain.com/CertEnroll/get-SRV-DC-CA.crl ---------------- CDP de liste de révocation des certificats de base ---------------- Échec "CDP" Heure : 0 (null) Erreur lors de la récupération de l’URL : La ressource ou le périphérique réseau spécifié n’est plus disponible. 0x80070037 (WIN32: 55 ERROR_DEV_NOT_EXIST) ldap:///CN=get-SRV-DC-CA,CN=SRV-DC,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=dom,DC=com?deltaRevocationList?base?objectClass=cRLDistributionPoint OK "Liste de révocation des certificats de base (0592)" Heure : 0 a467254541a842b5e0819fe02e61395baeb2b4e9 [1.0] http://SRV-DC.domain.com/CertEnroll/get-SRV-DC-CA.crl Échec "CDP" Heure : 0 (null) Erreur lors de la récupération de l’URL : La ressource ou le périphérique réseau spécifié n’est plus disponible. 0x80070037 (WIN32: 55 ERROR_DEV_NOT_EXIST) [1.0.0] ldap:///CN=get-SRV-DC-CA,CN=SRV-DC,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=dom,DC=com?deltaRevocationList?base?objectClass=cRLDistributionPoint Ancienne liste de révocation des certificats de base "Liste de révocation des certificats delta (0592)" Heure : 0 a467254541a842b5e0819fe02e61395baeb2b4e9 [1.0.1] http://SRV-DC.domain.com/CertEnroll/get-SRV-DC-CA.crl ---------------- Protocole OCSP du certificat ---------------- Pas d’URL "Aucun" Heure : 0 (null) -------------------------------- CRL 0592: Issuer: CN=get-SRV-DC-CA, DC=dom, DC=com ThisUpdate: 28/02/2019 13:55 NextUpdate: 08/03/2019 02:15 CRL: a467254541a842b5e0819fe02e61395baeb2b4e9 Application[0] = 1.3.6.1.5.5.7.3.2 Authentification du client Application[1] = 1.3.6.1.5.5.7.3.4 Messagerie électronique sécurisée CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0 Issuer: CN=get-SRV-DC-CA, DC=dom, DC=com NotBefore: 08/04/2015 13:36 NotAfter: 08/04/2020 13:45 Subject: CN=get-SRV-DC-CA, DC=dom, DC=com Serial: 40d4e5b7f3288898496b6f9bb3f1a103 Template: CA Cert: b3d1bb3362ec43aedafe4c3868805db4fcda5748 Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4) Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ---------------- AIA de certificat ---------------- Pas d’URL "Aucun" Heure : 0 (null) ---------------- CDP de certificat ---------------- Pas d’URL "Aucun" Heure : 0 (null) ---------------- Protocole OCSP du certificat ---------------- Pas d’URL "Aucun" Heure : 0 (null) -------------------------------- Exclude leaf cert: Chain: 52a851a29e09dc1f1aec1fd5a640854e68361f94 Full chain: Chain: 5046b50dfefc32be7c0c470bdb7ed2843ffc288a Issuer: CN=get-SRV-DC-CA, DC=dom, DC=com NotBefore: 01/03/2019 15:05 NotAfter: 29/02/2020 15:05 Subject: E=A.NOM@domaineexch.com, CN=NOM Alexandre Serial: 67f0382100000000a51b SubjectAltName: Autre nom :Nom principal=LOGIN@mailinterne.com Template: 1.3.6.1.4.1.311.21.8.11025665.8001721.14437036.989286.1368235.196.5905011.1016426 Cert: 9b28759fd75d66d04ad135b17ea93f541ace19f6 La fonction de révocation n’a pas pu vérifier la révocation car le serveur de révocation était déconnecté. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) ------------------------------------ Vérification de révocation ignorée -- le serveur est hors connexion ERREUR : la vérification de l’état de révocation du certificat feuille a renvoyé La fonction de révocation n’a pas pu vérifier la révocation car le serveur de révocation était déconnecté. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) CertUtil: La fonction de révocation n’a pas pu vérifier la révocation car le serveur de révocation était déconnecté. CertUtil: -verify La commande s’est terminée correctement.感謝幫助。
問題在於 Delta CRL http url,它指向 Base CRL 文件。Base 和 Delta CRL 都具有相同的 URL,因此它們指向同一個文件,而它們是單獨的物理文件。
- 打開 CA 管理控制台 (
certsrv.msc),選擇 CA 屬性,切換到擴展選項卡。確保 CDP 的 HTTP url 是否以<DeltaCrlAllowed>.crl.<DeltaCRLAllowed>如果沒有,請通過在文件副檔名之前插入變數來編輯 URL(複製現有的、刪除並添加具有相同設置的新 URL) 。- 打開 CertEnroll 文件夾並確保是否有兩個 crl 文件。其中之一包括
+文件名中的字元。如果有兩個文件,請確保 CRL(帶有加號的文件名)是否有效。
- 如果 http CRL 託管在 IIS 上,請確保是否在 IIS 上啟用了雙重轉義。
解決所有提到的問題後,重新發布 CRL 並再次嘗試 certutil。