我正在尝试导入由我在 Windows 中使用 AD CS 设置的 CA 创建的证书。我已完成以下操作:
1) 创建我自己的 CA (MyCompany)
2) 启用 Web 服务(主要是为了便于配置)
3) 在 Sonicwall 本身上生成证书请求
4) 使用 Web 服务签署证书
5) 将签署的证书导入 Sonicwall ...这导致证书在已验证字段中显示“否”。
6) 导入 CA 的证书。
这就是我被困住的地方。我尝试导入 CRL 列表,但出现以下错误:CRL Error - Verification failed using CA certificate
。日志中没有出现其他错误。如果没有 CRL 列表,证书将无法验证,也不会出现在“管理”页面下,因此我可以选择通过 HTTPS 使用它。
有任何想法吗?
编辑:当我尝试使用我的 HTTP 发布列表时,来自 Sonicwall:
07/02/2013 14:33:54.256 Alert VPN PKI Cannot Validate Issuer Path HTTPS
19 07/02/2013 14:33:54.256 Alert VPN PKI CRL validation failure for Root Certificate MyCompanyCA
20 07/02/2013 14:33:54.256 Alert VPN PKI Failed to Process CRL from http://crl.mydomain.com/Cert
Enroll/ CA: MyCompanyCA
答案1
因此,在使用全新 CA 回来后,似乎确实存在漏洞使用 SonicOS 5.8 会导致此问题。我的 CA 证书是 SHA512,而 SonicOS 仅支持 SHA1。不幸的是,我暂时无法升级到 5.9(这解决了此问题)。如果这对其他人有帮助,那就太好了。
答案2
好吧,我们大胆猜测一下,这样做:
让我们从一件愚蠢的事情开始:你确定你导入了正确的文件吗?!:)
DNS 是否正确?SonicWall 能否成功解析 crl.mydomain.com?
时间正确吗?确保双方都配置了 ntp 服务器,通常证书管理需要正确的时间。
crl url 真的会下载任何东西吗?
您是否可以查看 Windows CA 日志以确认文件已下载?或者更好的方法是,在 Windows CA 中加载嗅探器(如 wireshark),查看是否收到任何请求、在哪个端口收到请求以及您回复了什么。如果您什么也没得到,请检查防火墙、路由问题、acl 等
如果您收到请求并且回复成功且信息有效,那么这可能是 SonicWall 的问题。
如果一切都失败了,请向 SonicWall 提出服务请求,他们应该会帮助您调试问题