web-dev-qa-db-ja.com

SonicWallとWindows CA

AD CSを使用して、WindowsでセットアップしたCAによって作成された証明書をインポートしようとしています。私は次のことを行いました:

1)自分のCA(MyCompany)を作成した
2)有効なWebサービス(主に設定を簡単にするため)
3)Sonicwall自体で証明書リクエストを生成しました
4)Webサービスを使用して証明書に署名
5)署名証明書をSonicwallにインポートしました...これにより、証明書の[検証済み]フィールドに「いいえ」と表示されました。
6)CAの証明書をインポートしました。

これは私が行き詰まるところです。 CRLリストをインポートしようとしましたが、次のエラーが発生しました:CRL Error - Verification failed using CA certificate。これ以上のエラーはログに表示されません。 CRLリストがないと、証明書は検証されず、[管理]ページに表示されないため、HTTPS経由で使用するために選択できます。

何か案は?

編集:HTTP公開リストを使用しようとしたときのSonicwallから:

07/02/2013 14:33:54.256 Alert   VPN PKI Cannot Validate Issuer Path         HTTPS        
19  07/02/2013 14:33:54.256 Alert   VPN PKI CRL validation failure for Root Certificate         MyCompanyCA      
20  07/02/2013 14:33:54.256 Alert   VPN PKI Failed to Process CRL from           http://crl.mydomain.com/Cert
Enroll/ CA: MyCompanyCA
5
Nathan C

そのため、真新しいCAでこれに戻った後、SonicOS 5.8に実際に bug があり、この問題が発生しているようです。私のCA証明書はSHA512で、SonicOSはSHA1のみをサポートしています。残念ながら、まだ5.9にアップグレードすることはできません(これで問題が解決します)。これが他の誰かを助けるなら、素晴らしい。

4
Nathan C

まあ、野生の推測をして、これをやりましょう:

  • 愚かなことから始めましょう:あなたは正しいファイルをインポートしていますか? :)

  • DNSは正しいですか? sonicwallはcrl.mydomain.comを正常に解決できますか?

  • 時間は正しいですか?両側でntpサーバーが構成されていることを確認してください。通常、証明書の管理には正しい時間が必要です。

  • Crl urlは本当に何かをダウンロードしますか?

  • ファイルがダウンロードされたことを確認するために、Windows CAログを表示できますか?またはさらに良い方法として、Windows CAにスニファー(wiresharkなど)をロードして、リクエストを受信するかどうか、どのポートでリクエストを取得し、何を返信するかを確認します。何も表示されない場合は、ファイアウォール、ルーティングの問題、ACLなどを確認してください

リクエストを受け取り、有効な情報で成功した場合、それはおそらくsonicwallの問題です。

すべてが失敗した場合は、SonicWallへのサービスリクエストを開いてください。問題のデバッグに役立ちます。

0
higuita