Windows:當我知道發送了 OK 響應時,如何診斷證書吊銷檢查失敗?
TL;博士; 如何發現 Windows 上的 OCSP 響應有什麼問題?
我正在嘗試在本地 Exchange Server 2019 中安裝新證書。但 Exchange 總是報告新證書未通過吊銷檢查並且不會使用它。新證書具有從新證書通過中間 CA 到我的根 ca 的信任鏈。當我在 certmgr.msc 中打開新證書時,我看到該鏈,並且所有證書在 certmgr 中都報告為 OK。我已將我的根 CA 安裝到“受信任的根證書頒發機構”儲存中。我已將中間 CA 安裝到“中間證書頒發機構”儲存中。
新證書的授權資訊訪問URL 指定了我自己的 OCSP 響應者。我知道這不是連接問題,也不是代理問題,因為我實時查看 OCSP 日誌,並且我知道連接已建立,並且我的 OCSP 響應者發送證書“OK”。我在 linux 主機上使用 openssl-ocsp 進行了測試,當我使用以下 openssl 命令時,驗證成功:
openssl ocsp -issuer "$ca_sub_cert_file" -cert "$exchangeCert" -resp_text -CApath "$CA_ROOTS_HASHES_DIR" -url "http://$hostNameFull:$ocsp_port/"請注意,上面的 openssl 命令明確引用了issuer和CApath,這使得對中間 CA 的信任成為可能。在 Windows 上,我希望安裝 root-ca 和中間 CA 會同樣啟用對 OCSP 響應的信任。但我不知道如何測試這個。
這應該不是必需的,但我還為 ocsp-responder “安裝”了一個證書。我允許嚮導自動選擇商店,但我找不到它放在哪裡。當我在 certmgr.msc 中搜尋它時,它不會出現。我沒有手動安裝它,因為我不知道我應該使用哪個商店。
我懷疑我的 openssl OCSP 響應者的響應對於 Exchange Server 2019 是錯誤的。我的理論是:
- 無法從新證書到我的根 CA 建立信任鏈
- 鏈已建構,但 ocsp-responder、中間 ca 或 root-ca 的證書之一不受信任。即使安裝了intermediate-ca 和root-ca。
- openSSL 響應與 Windows 和/或 Exchange Server 2019 不兼容
如何檢驗上述理論?我搜尋了 Windows 事件日誌,但它們沒有提及 OCSP 或撤銷。
certutil.exe有一個相對較新的選項,您-downloadocsp可以使用它來驗證 OCSP 響應。
- 在命令提示符下,創建兩個文件夾,名為
certs和results。- 將您的 Exchange 伺服器證書放在
certs文件夾中。如果您也使用 OCSP 檢查 CA 證書,請將 CA 證書的副本放在該文件夾中。- 執行
certutil -downloadocsp certs results downloadonce。這將為每個響應創建一個.ocsp文件。results- 最後,執行
certutil results\????.ocsp以將每個響應查看為純文字。以上來自馬克庫珀的精彩網站。