Certificado de intranet assinado pela CA raiz personalizada: Estou vendo “A função de revogação não pôde verificar”

Question

Certificado de intranet assinado pela CA raiz personalizada: Estou vendo “A função de revogação não pôde verificar”

#1 resposta do (0 votos)

1

Antecedentes

Eu tenho um conjunto de sites internos da empresa, que precisam ter certificados TLS. Eu passei por vários tutoriais e acabei usando o OpenSSL para criar um certificado raiz autoassinado. Em seguida, usei este certificado para assinar certificados de servidor para os sites internos.

Por fim, adicionei manualmente o certificado raiz aos repositórios raiz confiáveis e aos Keychains em todos os nossos computadores. Tudo parecia estar bem. Todos os sites mostravam o cadeado verde. No entanto, encontrei um problema hoje.

O problema

Um dos sites internos é uma instalação do Github Enterprise. Tentei conectar-me a ele com o programa GitHub Desktop e recebi esta mensagem:

schannel: next InitializeSecurityContext falhou: erro desconhecido (0x80092012) - A função de revogação não pôde verificar a revogação do certificado.

Francamente, não tenho ideia do que fazer para corrigir isso. Qualquer ajuda seria apreciada, mesmo que seja apenas como contornar o erro.

ssl github certificate-authority

por Andy Mercer 15.06.2018 / 22:40

1 resposta

Tags ssl github certificate-authority

Sessão RDP Escalonamento de texto muito grande falha do pool de aplicativos Asp.Net

score 0 · Accepted Answer

Quando uma autoridade de certificação emite um certificado para um site seguro, esse certificado geralmente contém informações que permitem ao navegador do cliente validar se o certificado não foi emitido com erro (ou comprometido) e, posteriormente, revogado pela autoridade de certificação.
As autoridades de certificação (CAs) são necessárias para acompanhar os Certificados SSL revogados. Depois que a autoridade de certificação (CA) revogar um certificado SSL, a autoridade de certificação obtém o número de série do certificado e o adiciona à lista de certificados revogados (CRL). O URL para a lista de revogação de certificados da Autoridade de Certificação está contido em cada Certificado SSL no campo Pontos de Distribuição de CRL.

Próximo passo (não coberto por erro agora, mas aparecerá em seguida)

Para verificar o status de revogação de um certificado SSL, o cliente se conecta às URLs e faz o download das CRLs da autoridade de certificação. Em seguida, o cliente pesquisa na CRL o número de série do certificado para garantir que ele não tenha sido revogado.

Assim, você deve

Tenha "Pontos de distribuição de CRL" em todos os certificados emitidos por você (consulte a página de manual do x509v3_config para detalhes do formato da seção de extensão #
Preencha "Pontos de distribuição de CRL" com dados válidos
Ter lista no formato correto (compreensível por ferramentas do cliente)