為什麼 Windows 會錯誤地聲稱自簽名根 CA 證書已被吊銷？

我使用 openssl 創建了一個自簽名根 CA 證書供內部測試使用。它已成功安裝並用作許多機器和平台（Windows、Linux、各種 Java/.NET/瀏覽器客戶端）上的受信任 CA，沒有問題。

一位使用者（執行 WinXP SP3 / IE8）在嘗試將 CA 證書導入其受信任的根儲存時收到以下錯誤：“此證書已被其證書頒發機構撤銷”

CA 確實引用了我自己創建的 CRL，但它是空的。使用者可以手動訪問和查看 CRL 並確認它為空。CRL 檢查在 IE 中被禁用，但我猜這個設置在填充證書儲存時可能不適用。

這有什麼可以解釋的？有什麼方法可以使來自不同 CA 但具有相同指紋的撤銷證書可能導致我的 CA 證書被標記為已撤銷？

雖然執行緒很老，但我有答案。當自簽名證書放置在不受信任的證書儲存中時，可以在 Windows 上吊銷它。

關於 CRL：即使提供，Microsoft CryptoAPI 客戶端預設情況下也會忽略自簽名證書中的 C​​DP，並且僅檢查非根證書是否被吊銷。

當他們的客戶無法訪問您的 CRL 時，就會發生這種情況。

請參閱http://support.microsoft.com/kb/289749：

Q8：如果無法獲取有效的 CRL，Web 瀏覽器會出現什麼錯誤資訊？如果獲得 CRL 並且證書被吊銷，是否會顯示相同的錯誤消息？

A8：是的，您在兩種情況下都會收到相同的錯誤消息。您會收到以下錯誤消息：

HTTP 403.13 Forbidden: Client
certificate revoked 

The page requires a valid client certificate

引用自：https://serverfault.com/questions/338527