Windows-Xp

為什麼 Windows 會錯誤地聲稱自簽名根 CA 證書已被吊銷?

  • July 10, 2017

我使用 openssl 創建了一個自簽名根 CA 證書供內部測試使用。它已成功安裝並用作許多機器和平台(Windows、Linux、各種 Java/.NET/瀏覽器客戶端)上的受信任 CA,沒有問題。

一位使用者(執行 WinXP SP3 / IE8)在嘗試將 CA 證書導入其受信任的根儲存時收到以下錯誤:“此證書已被其證書頒發機構撤銷”

CA 確實引用了我自己創建的 CRL,但它是空的。使用者可以手動訪問和查看 CRL 並確認它為空。CRL 檢查在 IE 中被禁用,但我猜這個設置在填充證書儲存時可能不適用。

這有什麼可以解釋的?有什麼方法可以使來自不同 CA 但具有相同指紋的撤銷證書可能導致我的 CA 證書被標記為已撤銷?

雖然執行緒很老,但我有答案。當自簽名證書放置在不受信任的證書儲存中時,可以在 Windows 上吊銷它。

關於 CRL:即使提供,Microsoft CryptoAPI 客戶端預設情況下也會忽略自簽名證書中的 C​​DP,並且僅檢查非根證書是否被吊銷。

當他們的客戶無法訪問您的 CRL 時,就會發生這種情況。

請參閱http://support.microsoft.com/kb/289749

Q8:如果無法獲取有效的 CRL,Web 瀏覽器會出現什麼錯誤資訊?如果獲得 CRL 並且證書被吊銷,是否會顯示相同的錯誤消息?

A8:是的,您在兩種情況下都會收到相同的錯誤消息。您會收到以下錯誤消息:

HTTP 403.13 Forbidden: Client
certificate revoked 

The page requires a valid client certificate

引用自:https://serverfault.com/questions/338527