pkiview.msc 中的 OCSP 位置錯誤。但 OCSP 響應者似乎有效
我目前正在我們的組織中設置一個新的內部 Windows PKI 基礎結構,以替換舊設置。
一切都很好,但 OCSP 位置在 pkiview 控制台中的狀態為“錯誤”。當我使用 certutil(certutil -URL test-certificate.cer或certutil -urlfetch -verify test-certificate.cer)檢查證書時,它顯示為已驗證。所以響應者似乎確實有效。
有誰知道為什麼錯誤狀態可能會出現在 pkiview 中?或者在哪裡可以找到有關此錯誤的相關日誌?
有關設置的更多資訊:
- 正如您在圖像中看到的,它是一個兩層 PKI,具有一個離線根 CA 和一個加入域的發布 CA。
- AIA 和 CDP 位置位於兩個基於 Ubuntu 的 Nginx 伺服器上,keepalived 用於 HA 目的。
- Nginx 伺服器上的腳本每 15 分鐘從頒發 CA 獲取新的 CRL。
- 相同的兩個 Ubuntu 伺服器有第二個 Nginx 伺服器塊,它執行一個負載平衡器來將 ocsp 請求定向到兩個 ocsp 響應伺服器。這樣,證書可以只包含一個 ocsp url,當一個 ocsp 響應者關閉時,客戶端不必等待超時。
在Google搜尋問題時,我發現這可能是由於 CA-Exchange certificate 陳舊。但更新並沒有幫助。
更新
我用 Wireshark 對此進行了測試,在啟動 pkiview 時,實際上沒有發出 ocsp 請求。執行certutil -URL test-certificate.cer時,Wireshark 清楚地顯示了 ocsp 請求和響應。
經過一番搜尋後,我想通了。
對於 ocsp 響應伺服器,我使用與舊 pki 設置相同的陣列,因為您可以簡單地向陣列添加多個配置。
設置這些伺服器後,我按照本指南為 ocsp 位置獲取更好的 url。(http://ocsp.domain.com>而不是<http://ocsp.domain.com/ocsp)這涉及創建一個新的 IIS 站點和編輯一個 IIS 配置文件。
這在過去對客戶來說效果很好,現在仍然如此。但似乎導致 pkiview 中的錯誤。過去,沒有將 ocsp 位置添加到端點證書中。它僅用於一個在其配置文件中包含 url 的應用程序。所以它沒有出現在pkiview中。
當我們恢復到標準 IIS 配置並更新 CAExchange 證書時,錯誤就消失了。