Por favor, ajude-me a lidar com a verificação de revogação auto-assinada
Usei makecert.exe
para criar certificado raiz e de cliente
O problema é que certutil
falha ao verificar o certificado com erro
%código%
Aqui estão os parâmetros de comando que usei para criar raiz
makecert.exe -sky signature -pe -n CN=XML_ROOT_TEST -r -sv rootMyCA.pvk -sr LocalMachine -ss Root rootMyCA.cer
e certificado de cliente
makecert -pe -ic rootMyCA.cer -n "CN=XML_SIGN_TEST_CERT" -is Root -sv xml_sign_test.pvk -b 01/09/2017 -e 01/09/2019 xml_sign_test.cer
pvk2pfx -pvk xml_sign_test.pvk -spc xml_sign_test.cer -pfx xml_sign_test.pfx -f
Então eu tentei executar
certutil -verify -urlfetch d:\Tests\xml_sign_test.cer
mas falha
The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)
Revocation check skipped -- no revocation information available
Cannot check leaf certificate revocation status
CertUtil: -verify command completed successfully.
Eu tentei usar o makecert e gerar lista de revogação de crl como abaixo
makecert -crl -n CN=XML_ROOT_TEST -sv rootMyCA.pvk rootMyCA.crl
então eu importei esta lista para a máquina local \ autoridades de certificação de raiz confiável mas sem sorte, certutil ainda falha
Como posso gerar corretamente a lista crl? É possível gerar um certificado x509 sem verificação de revogação usando o makecert?