A verificação de revogação de certificado falha para um convidado que não seja de domínio apesar da CRL acessível

3

Quando tentamos usar certificados em computadores que não fazem parte do domínio, o Windows reclama que

The revocation function was unable to check revocation because the revocation server was offline.

No entanto, se eu abrir manualmente o certificado e verificar a propriedade CRL Distribution Point , vejo uma URL ldap:/// e http:// que aponta para um site do IIS acessível externamente que hospeda as CRLs. Obviamente, o cliente não associado ao domínio não pode acessar a URL ldap:/// , mas pode fazer o download da CRL do link http:// (pelo menos em um navegador).

Eu habilitei o log do CAPI e vejo o evento que corresponde a essa verificação de revogação com falha. o A seção RevocationInfo é:

  • RevocationInfo

    [ freshnessTime] PT11H27M4S

    • RevocationResult The revocation function was unable to check revocation because the revocation server was offline.
      [ value] 80092013
    • CertificateRevocationList
      [ location] UrlCache
      [ url] http://the correct URL
      [fileRef] 6E463C2583E17C63EF9EAC4EFBF2AEAFA04794EB.crl
      [issuerName] the name of the CA

Além disso, posso ver a solicitação HTTP para a URL correta e a resposta do servidor (HTTP 304 não modificado) com o Microsoft Network Monitor.

Corri certutil -verify -urlfetch e parece mostrar a mesma coisa: o computador reconhece as duas URLs, tenta ambas e, embora o link http:// seja bem-sucedido, retorna o mesmo erro.

Existe uma maneira de ter clientes que não fazem parte do domínio pular o link ldap:/// e verificar apenas o http:// one?

Editar:
A URL ldap:/// é

ldap:///CN=<name of CA>,CN=<name of server that is running the CA>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<domain name>?certificateRevocationList?base?objectClass=cRLDistributionPoint

Os clientes que não fazem parte do domínio podem estar na rede do domínio ou em uma rede externa. O http:// CDP é acessível a partir da Internet pública.

    
por 0xFE 21.08.2014 / 00:43

1 resposta

2

Após solucionar isso com o suporte da Microsoft, notamos que a CRL delta não estava acessível ao cliente porque a configuração padrão do IIS não suporta nomes de arquivos com o caractere + e o final da CRL delta com + . Depois de habilitar o escape duplo no IIS, o cliente não associado ao domínio pôde confirmar que o certificado não havia sido revogado.

    
por 23.08.2014 / 04:10