Eu criei um certificado de CA raiz autoassinado para uso de teste interno, usando o openssl. Isso foi instalado e usado com êxito como uma CA confiável em várias máquinas e plataformas (Windows, Linux, vários clientes de navegador Java / .NET /) sem problemas.
Um usuário (executando o WinXP SP3 / IE8) recebe o seguinte erro ao tentar importar o certificado da CA para o armazenamento de raiz confiável: "Este certificado foi revogado pela sua autoridade de certificação"
A CA faz referência a uma CRL que eu mesmo criei, mas está vazia. O usuário pode acessar e visualizar manualmente a CRL e confirmar se ela está vazia. A verificação de CRL está desativada no IE, mas acho que essa configuração pode não se aplicar ao preencher o armazenamento de certificados.
O que poderia explicar isso? Existe alguma maneira de um certificado revogado de uma CA diferente, mas com a mesma impressão digital, fazer com que meu certificado da CA seja sinalizado como revogado?
Embora o segmento seja muito antigo, tenho a resposta. O certificado auto-assinado pode ser revogado no Windows quando é colocado no armazenamento de Certificados Não Confiáveis.
Sobre a CRL: mesmo que seja apresentado, o cliente Microsoft CryptoAPI ignora por padrão o CDP em um certificado auto-assinado e verifica apenas os certificados não-raiz para revogação.
Isso é o que acontece quando o cliente não consegue acessar sua CRL.
Consulte o link :
Q8: What error message appears in the Web browser if an effective CRL cannot be obtained? Is the same error message displayed if the CRL is obtained and if the certificate is revoked?
A8: Yes, you receive the same error message in both scenarios. You receive the following error message:
HTTP 403.13 Forbidden: Client
certificate revoked
The page requires a valid client certificate