Root CA 是否需要線上?
我正在嘗試設置一個僅 IPv6 的 Exchange Server 2013,在 Server 2012 R2 Datacenter 上執行。這是用於測試目的的 VirtualBox 中的單機設置。
到目前為止一切正常。即,我可以訪問 Exchange-OWA 並向啟用 IPv6 的郵件提供商發送和接收電子郵件。
但是,我似乎仍然無法連接 Outlook 2016。這似乎與我的證書有關。訪問 OWA 的 Chrome/IE 也抱怨證書,但這可以跳過,而對於 Outlook 2016,這是一個停止。
因此,我在伺服器上安裝了證書頒發機構角色,對其進行了配置(企業 CA、根 CA),在 Exchange 2013 中創建了一個證書,由我的 CA 簽名(網路註冊)並在 Exchange 中啟用它。所以,如果我從伺服器訪問 OWA,證書就可以了。然後我將證書複製到執行我的 Outlook 客戶端的機器上並將其導入到那裡(Windows 10 Home Premium x64)。然而,Chrome/IE 仍然抱怨一個不受信任的發行者。我的證書顯示在 windows-certificate-store 中,但是如果我在控制面板中檢查 Internet 選項,我看不到我的證書。當我嘗試在那裡添加它時,它說它有效,但它沒有出現在列表中。
客戶端電腦是否有必要以某種方式訪問根CA(或從屬CA)以某種方式驗證證書沒有被吊銷?還是我錯過了其他東西?如果它需要線上,有沒有辦法做到這一點?這不是一個生產環境(也不應該成為一個),而只是測試 IPv6 就緒性。
至於您最初的問題,問題在於您的客戶無法辨識和驗證葉子證書。任何機器都必須這樣做,它必須在其信任庫中擁有根 CA 的公共證書。此外,您不需要將葉證書複製到客戶端。
至於您在答案中提出的問題,請查看Wikipedia:Revocation List TL;DR - 您需要手動傳播 CRL,因為您是根 CA 及其責任
好吧,我不得不說我很抱歉。但這整個話題對我來說很新鮮。但是,我設法自己找到了解決問題的方法:
當然它不能工作,因為我只在我的客戶端中導入了 Exchange 伺服器的證書。這將我的私有根 CA 引用為頒發者。由於我沒有導入根 CA 的證書,因此我的客戶端永遠無法信任交換證書,因為它無法使用根 CA 的證書對其進行驗證。因此,在我導出我的根 CA 證書並將其在我的客戶端上導入到“受信任的根證書頒發機構”儲存後,Exchange-cert 也變得受信任。隨後 Outlook 2016 完美連接。
雖然這解決了我最初的問題,但它沒有回答我提出的問題:如何在不連接到頒發者的情況下撤銷證書?我的商店裡確實有很多根證書,它們似乎沒有任何類型的 URL 或 IP 來檢查它們的撤銷狀態。