CRL 验证错误的可能原因有哪些?
我使用自签名 CA 运行网络。但从三周前开始,全部我的 RDP 客户端开始说他们无法验证 CRL。我以为托管 CRL 的 Web 服务器已死,但实际上并非如此。我可以毫无问题地访问 CRL。当错误首次出现时,我对 CRL 什么也没做。
Google 并没有给我多少线索,大多数解决方案只是关闭 CRL 验证。但我想真正修复它,而不是忽略它。我尝试重新生成 CRL 文件,但没有成功。
openssl -gencrl -out crl/crl.pem
以上是我用来生成 CRL 的命令,很简单。这也是我生成第一个 CRL 时使用的命令。但这次生成的 CRL 不起作用。
我还应该寻找什么?
答案1
这就是 SSL 证书的问题所在。您无需做任何事情即可让它们停止工作。它们会自行过期。您还必须更新 CRL。对于远程桌面,您确实应该在 Active Directory 域中使用 Windows Enterprise CA,而不是 OpenSSL。它将为您自动完成大部分工作。不过,我没有足够的细节来找出您的设置中还有什么问题。
回答您的问题“什么原因导致 CRL 验证错误?”
实际上只有两件事。要么客户端无法访问 CRL 分发点 (CDP),要么 CRL 已过期。
使用此命令来验证证书的正确性/有效性,包括 CDP:
certutil -f –urlfetch -verify mycertificatefile.cer
您是只使用 HTTP CDP,还是也有 LDAP CDP。如果您有 LDAP CDP,您是否记得在 Active Directory 中发布更新的 CRL?尝试验证 LDAP CDP 的客户端是否是同一 Active Directory 域的成员,以便他们有权从 LDAP 读取 CRL?
http://blogs.technet.com/b/pki/archive/2006/11/30/basic-crl-checking-with-certutil.aspx