ドメインの一部ではないコンピューターで証明書を使用しようとすると、Windowsは次のように文句を言います。
失効サーバーがオフラインだったため、失効機能は失効を確認できませんでした。
ただし、証明書を手動で開いてCRL Distribution Point
プロパティを確認すると、ldap:///
URLおよびhttp://
URLが外部からアクセスできることを示していますIIS = CRLをホストするサイト。もちろん、ドメインに参加していないクライアントはldap:///
URLにアクセスできませんが、http://
リンクからCRLをダウンロードできます(少なくともブラウザーでは)。
CAPIロギングを有効にしたところ、この失効チェックの失敗に対応するイベントが表示されました。 RevocationInfo
セクションは次のとおりです。
RevocationInfo
[freshnessTime] PT11H27M4S
- RevocationResult失効サーバーがオフラインだったため、失効機能は失効を確認できませんでした。
[値] 80092013- CertificateRevocationList
[場所] UrlCache
[url] http:// 正しいURL
[fileRef] 6E463C2583E17C63EF9EAC4EFBF2AEAFA04794EB.crl
[issuerName] CAの名前
さらに、Microsoft Network Monitorを使用して、正しいURLへのHTTP要求とサーバーの応答(HTTP 304未変更)を確認できます。
certutil -verify -urlfetch
を実行しましたが、同じことが表示されているようです。コンピューターは両方のURLを認識し、両方を試行し、http://
リンクが成功しても、同じエラーを返します。
ドメインに参加していないクライアントがldap:///
リンクをスキップしてhttp://
リンクのみを確認する方法はありますか?
編集:ldap:///
URLは
ldap:///CN=<name of CA>,CN=<name of server that is running the CA>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<domain name>?certificateRevocationList?base?objectClass=cRLDistributionPoint
ドメインに参加していないクライアントは、ドメインネットワーク上または外部ネットワーク上にある可能性があります。 http://
CDPは、パブリックインターネットからアクセスできます。
Microsoftのサポートでこれをトラブルシューティングした後、IISのデフォルト構成では+
文字の付いたファイル名と+
で終わるDelta CRLがサポートされていないため、クライアントからDelta CRLにアクセスできないことがわかりました。 IISで二重エスケープを有効にした後、ドメインに参加していないクライアントは、証明書が取り消されていないことを確認できました。