crl
Microsoft CRL URL
我们有许多 Exchange 服务器无法访问互联网。更新 Exchange 时,所有 .NET 程序集都已签名,这意味着安装程序需要在更新过程中检查 Microsoft 的 CRL。是否有一个明确的 URL 列表可以添加到我们的防火墙或代理规则中?我尽我所能搜索了互联网,但找不到好的答案或 KB/Technet 文章。 我知道可以禁用 CRL 检查,但这不是我们组织的首选解决方案。 ...
crl
crl
无法验证 DC 的吊销状态
我的林中的域控制器运行良好(正如故事通常所发生的那样)。 然后,突然间,我无法使用智能卡登录。相反,我看到了以下消息: 系统无法让您登录。无法确定用于智能卡身份验证的域控制器证书的吊销状态。 我真的不知道这里发生了什么。为了快速解决问题,我从客户端和 DC 的 CA 中删除了颁发智能卡证书的根证书。然后从相关 DC 导入了新导出的证书。同样的问题。 我在微软论坛和 HP 支持文档中发现了许多相关文章。每篇文章都没有提供太多帮助,因为显然它们只是一条通用错误消息。 话虽如此,其他智能卡(由其他 DC 发行)工作正常。所以我不知道这个有什么问题...
crl
Windows CA 在 CRL 中发布过期证书(未配置)
我有一个 Windows ADDS CA,出于某种原因,它在 CRL 中发布了已撤销但已过期的证书,我无论如何也想不出原因。这是我的配置: 服务器 2012 R2 独立 CA 它是具有自签名证书的根 CA(即,它是信任层次结构的顶部) CRLF_PUBLISH_EXPIRED_CERT_CRLS 未设置 EKUOIDsForPublishExpiredCertInCRL 键仅包含默认 OID(我相信是软件签名和内核签名)。此处讨论的证书是 IPSec 证书。 我们不发布增量 CRL - 只发布完整 CRL CRL 有效期为 35 天,其中重叠期为 7 天 ...
crl
什么决定了 PKI 中的 CRL 到期日期和有效性?
我正在使用 Microsoft 的公钥基础设施 (PKI),我有兴趣了解更多有关如何确定 CRL 的到期日期以及如何在 Microsoft PKI 环境中调整它的信息。 具体来说: 哪些因素和配置决定了 Microsoft PKI 中 CRL 的默认到期日期/期限?例如,CRL 本身的有效期为 2 天、一周或六个月 如何修改或延长 CRL 到期日期以更好地符合我们组织的安全策略和证书生命周期? 我知道 CRL 发布间隔和 CRL 到期日期之间的区别。但是,我有兴趣了解影响 CRL 到期日期的因素和配置。 ...
crl
证书被撤销后,crl 是否会自动更新给用户?
我不知道这个 CRL/OCSP 是如何工作的。我们确实有一个本地企业 CA,并且将 CRL 发布间隔设置为 8 天。正如所说的,当证书被撤销时,它不会立即应用/更新到用户的 Windows 和 Linux 机器。 因此,如果有人可以提供帮助,请回答以下问题: 我们如何设置,以便一旦证书被撤销,CRL 就会自动更新到用户机器? 我们可以使用 GPO 来更新 CRL 吗? CRL 在客户端机器中缓存在哪里? 我们可以在同一企业 CA 服务器中设置 OCSP 吗? 非常感谢。 ...
crl
需要帮助弄清楚为什么我可以使用已撤销的智能卡证书登录 Windows
我正在将智能卡登录添加到我们的域中,几乎所有功能都正常运行,但当我撤销企业 CA 上的证书时,我仍然可以登录计算机。我已检查是否可以使用证书中的链接下载 CRL,并看到证书 SN 在撤销列表中。我清除了客户端计算机上的本地 CRL 缓存(使用 certutil -urlcache crl delete),现在 2 天后再次测试 - 仍然有效 有人能指点一下在登录过程中实际智能卡证书吊销列表在哪里检查吗?查看此文档https://learn.microsoft.com/en-us/windows/security/identity-protection/sma...
crl
处理过期的 S/MIME 邮件证书的最佳做法是什么
在哪里可以找到有关处理过期邮件证书的正确方法的信息? 问题在于:我们用于数字签名邮件的证书一年后就会过期。如果在证书过期前一周,我撤销了证书并创建了新证书,那么每当我打开使用现已撤销的证书签名的旧邮件时,Outlook 就会发出警告。 我认为情况不应该如此,因为旧邮件是在证书尚未被撤销时签署的,所以我认为签名仍然完全有效。撤销有一个日期,因此撤销之后的签名应该无效,其他签名则无效。也许我错了 :-)。 我是否需要让证书过期,然后再创建一个新的证书(无需撤销),以防止 Outlook 警告我有关无效签名? 感谢您的帮助! ...
crl
CA 颁发的服务器证书可以没有 CRL URL 吗?
我正在尝试创建服务器证书验证,我需要做的事情之一是检查证书是否已被吊销,但特定服务器的服务器证书似乎没有 CRL URL,我可以使用 CRL 来检索以进行检查。这可能吗?如果没有 CRL URL,我是否应该认为证书未被吊销或过期? ...
crl
CertUtil:目录服务遇到未知故障。0x800720ef(WIN32:8431 ERROR_DS_UNKNOWN_ERROR)
我正在尝试发布已撤销的证书,但在使用证书颁发机构控制台时出现未知故障: 事件查看器中的应用程序日志: 它说:Active Directory 证书服务无法将密钥 0 的 Delta CRL 发布到以下位置:ldap:///CN=ad-WIN-TJO4EL48O29-CA,CN=WIN-TJO4EL48O29,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=ad,DC=testdomain,DC=com。操作中止 0x80004004 (-2147467260 E_ABORT)。...
crl
已撤销的证书在 Google Chrome 和 Microsoft Edge 中仍然有效
我已经生成了自签名证书,Root-CA由Root-CA 然后,Intermediate-CA由Root-CA和Server签字人签字Intermediate-CA 证书如下: Root-CA -> Intermediate-CA -> Server Root-CA: rootca.key rootca.crt rootca.crl Intermediate-CA: intermediateca.key intermediateca.crt intermediateca.crl Server: server.key server.cr...
crl
OpenVPN 验证 CRL 问题
使用 OpenVPN/EasyRSA 3 设置(CA 和 VPN 入口点的拆分机器)时,我面临的问题是,无论我生成什么 CRL,OpenVPN 似乎都无法处理它。 设置概述:一切顺利 我遵循以下准则来设置相应的机器: OpenVPN 服务器 CA 服务器 客户端的签名请求、实际签名、连接到 VPN、名称服务器推送、私有名称解析等所有工作都非常顺利。但是,我可以在 CA 上撤销证书(据我所知,没有“撤销请求”,而是直接在 CA 上撤销证书),并生成相应的 CRL,如下所示: ./easyrsa revoke doe.john.client ./easyrs...
crl
使用 OpenVPN 服务器更新 CRL 以延长有效期吗?
如果客户端尝试连接到 OpenVPN 服务器时收到错误“VERIFY ERROR:depth=0,error=CRL has expired”,可以按如下方式修复: cd /etc/openvpn/easy-rsa easyrsa gen-crl Should result in: [root@vpnserver easy-rsa]# easyrsa gen-crl Using SSL: openssl OpenSSL 1.1.1m 14 Dec 2021 Using configuration from /etc/openvpn/easy-rsa/p...
crl
如何删除本地证书存储中的 CRL 文件
我需要导入CRL 文件到 Bastion 服务器不是我的环境域的一部分。CRL 文件每隔几天更新一次,因此需要将新副本导入本地证书存储经常出现在堡垒上。 我注意到当我做新鲜进口的新的 CRL旧副本不是被覆盖或删除时,刚刚添加新副本添加到列表中。我想运行一个脚本,首先删除旧的 CRL 文件在里面受信任的根 CA 和中间 CA CRL店铺。 我还没有找到使用以下方法删除过期/过期的 CRL证书管理器,证书实用程序或者电源外壳我需要一种方法来脚本这就是它的自动化。有人找到办法了吗?任何帮助我都会很感激! ...
.png)
crl
域成员服务器 - 访问证书吊销列表 (CRL)
在我的环境中我有一个企业根 CA安装在域控制器上,并配置为从属 CA- 我知道出于安全原因不建议这样做,但这是我继承的。 这证书注册 Web 服务和联机响应服务是不是安装在任一服务器上,因此没有 IIS 服务到位。 如果我打开我创建的证书 - 选择细节标签 - 并选择CRL 分发点提供的 URL 如下: URL=ldap:///CN=,CN=,CN=CDP,CN=公钥服务,CN=服务,CN=配置,DC=example,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoin...
crl
OCSP 如何处理已删除的证书?
我们在 Windows Server 2019 上运行了 Microsoft 证书颁发机构。我们通过 MDM 向 Android 设备颁发证书。Android 设备用户使用需要客户端证书的 Chrome Web 浏览器(在 Android 上)浏览 Web 应用程序(由 Apache 托管,以 PHP 8 实现)。 我们正在安装一个具有 Microsoft OCSP Responder 角色的单独 Windows Server 2019 实例,以验证/确认提交给 Apache Web 服务器的客户端证书是否有效。Apache 有几个指令来处理 OCSP 验证...