Principale utente con più risposte
Problema controllo CRL: 403 13 2148081683

Domanda
-
Salve a tutti,
da tempo abbiamo problemi con il controllo delle CRL lato server:
ho dei siti serviti da IIS sui quali l'accesso è effettuato tramite certificato digitale. Su questi siti è impostata autenticazione anonima (l'autenticazione la fa l'applicazione), quindi IIS è passante per il certificato, ma ad intervalli casuali succede che una serie di utenti non riescano ad accedere tramite il proprio certificato (non arrivano proprio all'applicazione, vengono bloccati da IIS).
Sul client ricevono un 403 Forbidden, nei log di IIS trovo il codice di errore "403 13 2148081683"
Durante questi periodi di "buio" (il che non accade per tutte le CA configurate, quindi non vengono tagliati fuori tutti gli utenti, solo alcuni gruppi, a volte nemmeno tutti gli utenti di una stessa CA, il che farebbe pensare a qualcosa lato client, ma disattivando il controllo delle CRL lato server passano tutti), se provo manualmente a scaricare la CRL tramite il CDP della CA riesco sempre a scaricare il file, ma gli utenti continuano a non riuscire ad accedere (ovviamente ho controllato a campione alcuni certificati verificando che non fossero effettivamente revocati).
Abbiamo già verificato qualsiasi eventuale problema di connettività (no proxy, dns pubblici, firewall, routing, tutto ok)
Attivando il log CAPI2 trovo gli errori più disparati, spesso trovo l'errore "The revocation function was unable to check revocation because the revocation server was offline", ma non ne capisco il motivo dato che se provo a scaricare manualmente la CRL riesco sempre a scaricarla
Spero qualcuno possa aiutarmi, grazie
Roberto
Risposte
-
Ciao, guarda la vedo più una problematica da forum iis
https://forums.iis.net/
piuttosto che un forum sistemistico come il Technet. Aspettiamo e vediamo se qualcuno ha qualche idea ma qui operiamo su diverse problematiche. Magari posta anche sul forum ufficiale della piattaforma.
ciao.
A.
- Contrassegnato come risposta Nikola KochmalarskiMicrosoft contingent staff, Moderator lunedì 25 febbraio 2019 06:24
-
dai comunque un'occhiata qui
https://stealthpuppy.com/resolving-issues-starting-ca-offline-crl/#.XHPMwKJKhEY
Edoardo Benussi
Microsoft MVP - Cloud and Datacenter Management
e[dot]benussi[at]outlook[dot]it- Contrassegnato come risposta Edoardo BenussiMVP, Moderator lunedì 25 febbraio 2019 11:09
Tutte le risposte
-
Ciao, guarda la vedo più una problematica da forum iis
https://forums.iis.net/
piuttosto che un forum sistemistico come il Technet. Aspettiamo e vediamo se qualcuno ha qualche idea ma qui operiamo su diverse problematiche. Magari posta anche sul forum ufficiale della piattaforma.
ciao.
A.
- Contrassegnato come risposta Nikola KochmalarskiMicrosoft contingent staff, Moderator lunedì 25 febbraio 2019 06:24
-
dai comunque un'occhiata qui
https://stealthpuppy.com/resolving-issues-starting-ca-offline-crl/#.XHPMwKJKhEY
Edoardo Benussi
Microsoft MVP - Cloud and Datacenter Management
e[dot]benussi[at]outlook[dot]it- Contrassegnato come risposta Edoardo BenussiMVP, Moderator lunedì 25 febbraio 2019 11:09