Come dovrebbe apparire un nome file CRL quando vengono generati CRL "nuovi" e "delta"?

3

Sospetto che la mia configurazione di revoca CRL del server di certificazione Windows 20012 non sia corretta ogni volta che creo un nuovo CRL o un nuovo Delta, vengono generati solo un massimo di 3 file.

  1. Quando ho creato la root offline (nella foto sotto) ha generato il file ''

  2. Quando la root offline ha creato il suo primo certificato, ha firmato con il nome Root01+.crt

Dump parziale del certificato di ciò che la root ha aggiunto al mio file di richiesta del certificato dal sub (criterio) CA:

 2 Authority Info Access
     Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
     Alternative Name:
          URL=http://classic.freesmime.com/Root01/Root01_.crt

Ho quindi esaminato il file system e ho notato che l'intermediario faceva riferimento a un certificato che non è mai stato creato. Così sono andato alla CA radice, ho fatto clic sul nodo che diceva "certificati revocati" e ho colpito la pubblicazione.

Ho quindi avuto la possibilità di creare un nuovo file CRL o creare un delta. Non ero sicuro di quale fare, così ho fatto entrambi (questo è un laboratorio di prova). Ho notato che sono stati generati i seguenti file:

 ROOT01+.crl  (updated for Delta and new CRL)
 ROOT01.crl   (Updated only for new CRL)
 ROOT01_.crl  (Never updated ... only created when CA installed)

Domanda

  • Quindi la mia domanda è ... è corretto che una determinata CA avrà un massimo di 3 elenchi CRL con un suffisso variabile come elencato sopra?

  • È corretto che un nome di sottolineatura non venga mai aggiornato?

Per coloro che leggono questo punto, ecco un'immagine della mia configurazione CRL all'interno di una CA offline di MSFT:

Scusa per le grandi dimensioni, sono su un Mac e penso che qualcosa stia facendo apparire troppo grandi le immagini

    
posta random65537 08.01.2013 - 02:30
fonte

1 risposta

1

Una configurazione "normale" con Servizi certificati Microsoft include due file CRL : un base CRL e un delta CRL . Il CRL di base è destinato a essere referenziato da un'estensione CRL Distribution Points nel certificato emesso. Il CRL di base conterrà un'estensione Freshest CRL che a sua volta punta al delta CRL. Ogni volta che viene emesso un nuovo CRL di base, viene immediatamente emesso un nuovo Delta CRL; ma il CRL delta può anche essere aggiornato più spesso del CRL di base (e questo è il punto di usare un CRL delta, a proposito). Per impostazione predefinita, Servizi certificati imporrà un nuovo CRL delta ogni volta che il precedente scadrà presto, e anche ogni volta che un certificato viene revocato.

Non hai bisogno di più di questi due file. Ricorda che un CRL ha qualsiasi valore solo nella misura in cui i client (che convalidano i certificati) possono trovarli e li trovano seguendo l'URL trovato in altri oggetti. I certificati di entità finale contengono un URL per il download di CRL, pertanto il CRL corrente deve sempre essere memorizzato in tale nome.

Inoltre, Servizi certificati consente di configurare i nomi di entrambi CRL (base e delta) solo attraverso un'impostazione comune, i due nomi differiscono solo dalla parola chiave " <DeltaCRLAllowed> ", che viene sostituita da una stringa vuota per un base CRL e un segno "+" per un Delta CRL. Questo schema di denominazione è imposto; non puoi cambiarlo (Per inciso, se si utilizza la distribuzione basata su Web di CRL e il server Web è IIS, il segno "+" causerà problemi; per consentire a IIS di servire il file, è necessario attivare doppio escape .)

Per il terzo file con un trattino basso, verifica se si tratta di un file ".crl" (cioè un CRL) o di un file ".crt" (cioè un certificato). È normale e ci si aspetta che abbia una copia del certificato CA in quella posizione. Il nome per quel certificato sarà derivato (ancora per impostazione predefinita) dal nome host della CA e dal suo nome di dominio - se non ottieni nulla dopo il trattino basso, suppongo che la CA non faccia parte di un dominio di Active Directory. Il certificato CA viene fatto riferimento dall'estensione Authority Information Access dei certificati emessi, mentre il CRL fa riferimento all'estensione CRL Distribution Points degli stessi certificati.

    
risposta data 08.01.2013 - 03:59
fonte