none
ssl网站与CRL的问题 RRS feed

  • 问题

  • test22:   192.168.1.22(ssl网站)
    test21:   192.168.1.21(CA服务器)
    环境为工作组模式  测试系统为08 R2

    客户端访问ssl网站强制需要证书.
    现有如下疑惑:
    1,当CA服务器吊销客户端证书时,ssl网站是通过服务器证书更新CRL,还是以其它方式更新CRL?

    2,生效时间多少长,是更新增量还是全部.


    • 已编辑 unine 2012年5月18日 17:02
    2012年5月18日 17:02

答案

  • 您好!

    根据我的研究,在需要CRL验证的情况下,可以通过为IIS服务器导入CRL来让网站正常访问。在MMC中的【证书】【本地计算机】【中级证书颁发机构】里导入CRL即可。不过因为CRL有效期限至,所以需要定期更新CRL,可以根据情况手动或自动更新。

    指定已颁发证书中的证书吊销列表分发点,可以参考:
    http://technet2.microsoft.com/WindowsServer/zh-CHS/Library/6c95826e-8c8d-4138-bae6-a92e8612499f2052.mspx?mfr=true

    吊销证书和发布 CRL,可以参考:
    http://technet2.microsoft.com/WindowsServer/zh-CHS/Library/a4331df0-273b-41a3-95f5-8425d39543c72052.mspx?mfr=true

    如何向 Web 服务器发布颁发 CA CRL,可以参考:
    http://www.microsoft.com/china/technet/security/guidance/secmod183.mspx

    希望我的回答对您有所帮助,如果有什么不清楚的地方,请您回帖。


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2012年5月21日 9:06
    版主

全部回复

  • 您好!

    根据我的研究,在需要CRL验证的情况下,可以通过为IIS服务器导入CRL来让网站正常访问。在MMC中的【证书】【本地计算机】【中级证书颁发机构】里导入CRL即可。不过因为CRL有效期限至,所以需要定期更新CRL,可以根据情况手动或自动更新。

    指定已颁发证书中的证书吊销列表分发点,可以参考:
    http://technet2.microsoft.com/WindowsServer/zh-CHS/Library/6c95826e-8c8d-4138-bae6-a92e8612499f2052.mspx?mfr=true

    吊销证书和发布 CRL,可以参考:
    http://technet2.microsoft.com/WindowsServer/zh-CHS/Library/a4331df0-273b-41a3-95f5-8425d39543c72052.mspx?mfr=true

    如何向 Web 服务器发布颁发 CA CRL,可以参考:
    http://www.microsoft.com/china/technet/security/guidance/secmod183.mspx

    希望我的回答对您有所帮助,如果有什么不清楚的地方,请您回帖。


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2012年5月21日 9:06
    版主
  • 下图为SSL网站的CRL,我是17号导入,18号就已经过期,但是我在CA服务器做证书吊销和恢复

    依然会有效果,而且在CA服务器吊销证书,第二天客户端无法访问SSL网站,IIS日志显示403.13应该是吊销成功

    但是在SSL网站服务器的CRL的吊销列表没有更新.

    2012年5月22日 5:11