Possíveis causas do erro de validação da CRL

Question

Possíveis causas do erro de validação da CRL

#1 resposta do (2 votos)

2

Quais são as possíveis causas do erro de validação da CRL?

Eu gerencio uma rede com minha CA autoassinada. Mas desde três semanas atrás, todos dos meus clientes RDP começaram a dizer que não haviam validado a CRL. Eu pensei que o servidor web que hospeda CRL estava morto, mas na verdade não foi. Eu poderia acessar a CRL sem problemas. Eu não fiz absolutamente nada com a CRL quando o erro começou.

O Google não me deu pistas, a maioria das soluções estava desativando a validação da CRL. Mas eu quero realmente consertar isso, não apenas ignorá-lo. Eu tentei regenerar o arquivo CRL, mas não funcionou.

openssl -gencrl -out crl/crl.pem

O acima é o comando que eu usei para gerar o CRL, direto. Esse é o mesmo comando que eu também usei quando geramos a primeira CRL. Mas a CRL gerada desta vez não está funcionando.

O que mais eu devo procurar?

windows rdp ssl-certificate

por manatails 28.02.2015 / 16:35

1 resposta

Tags windows rdp ssl-certificate

ntpd servidores presos no estado init quando definidos pelo nome do host, mas sincronizados corretamente quando definidos pelo endereço IP WinRM publicamente disponível

score 2 · Accepted Answer

Essa é a coisa com certificados SSL. Você não precisa fazer nada para eles pararem de trabalhar. Eles expiram por conta própria. Você precisa renovar as CRLs também. Para a Área de Trabalho Remota, você deve estar usando uma autoridade de certificação do Windows Enterprise em um domínio do Active Directory e não no OpenSSL. Ele irá automatizar a maioria dessas coisas para você. Eu não tenho detalhes suficientes para descobrir o que mais está errado com a sua configuração como é.

Para responder à sua pergunta, "o que causa erros de validação da CRL?"

Apenas duas coisas, na verdade. O cliente não pode acessar o ponto de distribuição da CRL (CDP) ou a CRL expirou.

Use este comando para verificar a exatidão / validade de um certificado, incluindo os CDPs:

certutil -f –urlfetch -verify mycertificatefile.cer

Você está usando apenas CDPs HTTP ou também possui CDPs LDAP. Se você tem CDPs LDAP, está se lembrando de publicar CRLs atualizadas no Active Directory? Seus clientes estão tentando validar os membros do CDP do LDAP do mesmo domínio do Active Directory para que eles tenham permissões para ler a CRL do LDAP?

link