我已经创建了根 CA 和服务器证书didierstevens 博客。即使在吊销服务器证书后,我的浏览器仍然信任该证书。我收到了旧 CA 和证书的证书吊销错误消息。我按照相同的博客创建了新的 CA 和证书,但现在不起作用了。
我已经在 IIS 10.0.10586.0 中托管了测试应用程序,我的客户端浏览器是 Chrome 63.0.3239.132 和 IE 11.1295.10586.0。我确认 CRL 文件可以访问,两个浏览器中都启用了证书撤销检查。但 CRL 验证仍然没有发生。
答案1
证书吊销是由处理证书的浏览器/应用程序处理的过程。当它连接到应用程序并被呈现证书时,它首先检查通用名称(或 SAN)以确保服务器的名称与证书匹配。之后,它会进行一些其他检查(与此问题无关),最终进行 CRL 检查。
CRL 检查要求应用程序联系托管 CRL 文件的列出服务器(或 OCSP 服务器)以验证所出示的证书是否仍然有效。这意味着您不仅必须使用颁发证书正确签署 CRL,还必须以客户端可以访问的方式托管 CRL 文件。如果 CRL 未正确更新和签名,则会导致 CRL 检查失败,但证书仍然有效。
您是否将 CRL 托管在客户端可以访问的位置,以便首先检查 CRL?