web-dev-qa-db-ja.com

アクセス可能なCRLにもかかわらず、ドメイン以外のゲストの証明書失効チェックが失敗する

ドメインの一部ではないコンピューターで証明書を使用しようとすると、Windowsは次のように文句を言います。

失効サーバーがオフラインだったため、失効機能は失効を確認できませんでした。

ただし、証明書を手動で開いてCRL Distribution Pointプロパティを確認すると、ldap:/// URLおよびhttp:// URLが外部からアクセスできることを示していますIIS = CRLをホストするサイト。もちろん、ドメインに参加していないクライアントはldap:/// URLにアクセスできませんが、http://リンクからCRLをダウンロードできます(少なくともブラウザーでは)。

CAPIロギングを有効にしたところ、この失効チェックの失敗に対応するイベントが表示されました。 RevocationInfoセクションは次のとおりです。

  • RevocationInfo

    [freshnessTime] PT11H27M4S

    • RevocationResult失効サーバーがオフラインだったため、失効機能は失効を確認できませんでした。
      [値] 80092013
    • CertificateRevocationList
      [場所] UrlCache
      [url] http:// 正しいURL
      [fileRef] 6E463C2583E17C63EF9EAC4EFBF2AEAFA04794EB.crl
      [issuerName] CAの名前

さらに、Microsoft Network Monitorを使用して、正しいURLへのHTTP要求とサーバーの応答(HTTP 304未変更)を確認できます。

certutil -verify -urlfetchを実行しましたが、同じことが表示されているようです。コンピューターは両方のURLを認識し、両方を試行し、http://リンクが成功しても、同じエラーを返します。

ドメインに参加していないクライアントがldap:///リンクをスキップしてhttp://リンクのみを確認する方法はありますか?

編集:
ldap:///URLは

ldap:///CN=<name of CA>,CN=<name of server that is running the CA>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<domain name>?certificateRevocationList?base?objectClass=cRLDistributionPoint

ドメインに参加していないクライアントは、ドメインネットワーク上または外部ネットワーク上にある可能性があります。 http:// CDPは、パブリックインターネットからアクセスできます。

3
0xFE

Microsoftのサポートでこれをトラブルシューティングした後、IISのデフォルト構成では+文字の付いたファイル名と+で終わるDelta CRLがサポートされていないため、クライアントからDelta CRLにアクセスできないことがわかりました。 IISで二重エスケープを有効にした後、ドメインに参加していないクライアントは、証明書が取り消されていないことを確認できました。

4
0xFE