Root CA 需要在线吗?

Root CA 需要在线吗?

我正在尝试设置在 Server 2012 R2 Datacenter 上运行的仅支持 IPv6 的 Exchange Server 2013。这是在 VirtualBox 中为测试目的进行的 1 台机器设置。

到目前为止一切运行正常。例如,我可以访问 Exchange-OWA 并向启用 IPv6 的邮件提供商发送和接收电子邮件。

但是,我似乎仍然无法让 Outlook 2016 连接。这似乎与我的证书有关。此外,访问 OWA 的 Chrome/IE 也会抱怨证书,但这可以跳过,而对于 Outlook 2016 来说,这是一个停止。

因此,我在服务器上安装了证书颁发机构角色,对其进行了配置(Enterprise-CA、Root-CA),在 Exchange 2013 中创建了证书,由我的 CA(Web 注册)对其进行签名,并在 Exchange 中启用它。因此,如果我从服务器访问 OWA,证书就可以了。然后,我将证书复制到运行 Outlook 客户端的计算机并将其导入到那里(Windows 10 Home Premium x64)。但是,Chrome/IE 仍然抱怨颁发者不受信任。我的证书显示在 windows-certificate-store 中,但如果我在控制面板中检查 Internet 选项,则看不到我的证书。当我尝试将其添加到那里时,它说它有效,但它没有出现在列表中。

客户端机器是否有必要访问根 CA(或下属 CA)以验证证书是否未被吊销?还是我遗漏了其他内容?如果需要在线,有没有办法不在线?这不是生产环境(也不应该成为生产环境),而只是测试 IPv6 是否就绪。

答案1

至于您最初的问题,问题在于您的客户端无法识别和验证叶证书。任何机器要想做到这一点,其信任库中都必须有根 CA 的公共证书。此外,您无需将叶证书复制到客户端。

至于你在回答中提出的问题,请看一下维基百科:撤销列表 TL;DR - 您需要手动传播 CRL,因为您是根 CA,这是您的责任

答案2

好吧,我不得不说我很抱歉。但整个话题对我来说都很新。不过,我已经设法自己找到了解决问题的方法:

当然,它无法工作,因为我只在客户端中导入了 Exchange 服务器的证书。这将引用我的私有根 CA 作为颁发者。由于我没有导入我的根 CA 的证书,我的客户端永远无法信任 Exchange 证书,因为它无法使用根 CA 的证书对其进行验证。因此,在我导出我的根 CA 的证书并将其导入到客户端上的“受信任的根证书颁发机构”存储后,Exchange 证书也变得受信任。随后 Outlook 2016 完美连接。

虽然这解决了我原来的问题,但并没有回答我的问题:如何在没有连接到颁发者的情况下撤销证书?我的商店中确实有很多根证书,似乎没有任何类型的 URL 或 IP 来检查其撤销状态。

相关内容