O Windows pode registrar os timings da CryptoAPI CRL?

6

Eu suspeito que o processo de criação do cache da CRL possa causar latência em alguns aplicativos.

Temos vários aplicativos .NET que ocasionalmente "agem lentamente", sem acesso a CPU ou disco. Eu suspeito que eles estão desligados na autenticação ao tentar validar o certificado, já que o tempo limite é de quase 20 segundos.

De acordo com este artigo da MSFT

Most applications do not specify to CryptoAPI to use a cumulative time-out. If the cumulative time-out option is not enabled, CryptoAPI uses the CryptoAPI default setting which is a time-out of 15 seconds per URL. If the cumulative time-out option specified by the application, then CryptoAPI will use a default setting of 20 seconds as the cumulative timeout. The first URL receives a maximum timeout of 10 seconds. Each subsequent URL timeout is half of the remaining balance in the cumulative timeout value.

Como este é um serviço, como posso detectar e fazer log do CryptoAPI trava os aplicativos para os quais eu tenho código de fonte, e também terceiros

    
por random65537 02.06.2012 / 05:53

3 respostas

4

Uma maneira de obter mais informações sobre isso é ativar o log de eventos CAPI2

  • Abra o Eventvwr - > Logs de aplicativos e serviços - >
  • Microsoft - > Windows - > CAPI2 - > Operacional - >
  • Clique com o botão direito em Ativar registro

As informações que aparecem no log de eventos ajudarão a determinar onde o processo de validação do certificado está demorando muito.

Para ativar o registro em log

  wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:true

Para salvar o log em um arquivo

 wevtutil.exe epl Microsoft-Windows-CAPI2/Operational filename.elf

Para desabilitar o log

 wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:false

Para limpar registros

 wevtutil.exe cl Microsoft-Windows-CAPI2/Operational
    
por 02.06.2012 / 20:17
4

Eu tenho várias opções diferentes para você, já que solucionar problemas de uma PKI em potencial pode ser um problema complexo.

CRLs são animais lentos e pesados ...

Primeiro de tudo, direi a você que os tempos limite de CRLs levaram a maior PKI do mundo a não usar CRLs para a grande maioria das necessidades de validação de PKI. Fazer o download de um arquivo de 50MB quando um usuário precisa apenas de um simples sim ou não antes de enviar um e-mail criptografado não é um bom começo!

Como fazer a validação

1 - Você pode testar um cliente de validação nativo da Microsoft de substituição com um cliente de validação de terceiros, como o Tumbleweed ou outros, e depois monitorar o cliente de validação de terceiros (como um controle). A Tumbleweed / Axways vende e fornece testes de um cliente de validação popular de terceiros, repetidores e respondentes do OCSP. Você também pode usar OpenSSL, ejbca ou OpenCA como respondedores de validação. Além disso, há um PKIF de estrutura OSS, que inclui funções específicas de log CAPI, e clientes OCSP localizados no link

2 - Você pode controlar as fontes de dados de validação (CRL, OCSP, SCVP).

3 - Outra fonte de problemas pode ser a resolução lenta de DNS, falta de cache DNS ou PKI configurada incorretamente, trusts ausentes ou o tempo necessário para atualizar as CRLs (causando um travamento temporário se uma PKI maior).

Você pode compartilhar mais detalhes sobre a configuração dos aplicativos, a PKI em si, os campos para os certificados x509, largura de banda, etc. Em particular, estou interessado nos campos relevantes para validação, como o Acesso a Informações da Autoridade (AIA). ) por exemplo, e quaisquer referências codificadas à CRL ou OCSP.

Tenha em mente que há uma ambigüidade bem conhecida nos tipos de resposta também. As RFCs especificamente para o OCSP têm problemas em que uma boa resposta e uma resposta desconhecida são igualmente válidas para um certificado do qual a validação não tem conhecimento.

Uma discussão sobre alternativas:

Existem dois métodos principais de validação de certificado, listagem branca e listagem negra.

Os protocolos de listagem negra incluem CRLs, OCSP e SCVP e, em seguida, variações do OCSP.

A listagem branca no Windows pode ser realizada usando a interface do OCSP com um CA DB, CTLs * e SCVP.

Na maioria dos casos, os métodos de lista branca são considerados superiores, mais seguros, mais rápidos, mais em tempo real e melhores alternativas aos métodos de listagem negra.

    
por 02.06.2012 / 22:33
1

Por que vale a pena, há um hotfix que pode não resolver o problema específico, mas contém um cryptnet.dll atualizado para resolver problemas de OCSP. Este arquivo específico também não foi atualizado no SP1.

Você não pode usar um método de logon baseado em certificado para autenticar solicitações em um computador que está executando o Windows Server 2008 R2

link

    
por 02.06.2012 / 21:35