質問者
証明書の失効確認について
質問
-
先日、startsslにて無料証明書を取得してみましたが、マシンによって失効確認ができる場合とできない場合があります。
certutil -URLcache * deleteしても状況が変わらないのですが、何か他に考えられる原因があるでしょうか?
以下、certutil -f -urlfetch -verifyの結果ですが、殆ど違いがありません。
1.成功の場合
発行者: CN=StartCom Class 1 Primary Intermediate Server CA OU=Secure Digital Certificate Signing O=StartCom Ltd. C=IL 名前ハッシュ (sha1): 6568874f40750f016a3475625e1f5c93e5a26d58 名前ハッシュ (md5): 5e3059ea38ba35c8ac13e33636c90bcf サブジェクト: E=postmaster@XXXXX.jp CN=www.XXXXX.jp C=JP 名前ハッシュ (sha1): 名前ハッシュ (md5): 証明書シリアル番号: 06630b6180d4e4 dwFlags = CA_VERIFY_FLAGS_ALLOW_UNTRUSTED_ROOT (0x1) dwFlags = CA_VERIFY_FLAGS_IGNORE_OFFLINE (0x2) dwFlags = CA_VERIFY_FLAGS_FULL_CHAIN_REVOCATION (0x8) dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000) dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000) ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN (0x20000000) HCCE_LOCAL_MACHINE CERT_CHAIN_POLICY_BASE -------- CERT_CHAIN_CONTEXT -------- ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ChainContext.dwRevocationFreshnessTime: 48 Days, 23 Hours, 36 Minutes, 41 Seconds SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) SimpleChain.dwRevocationFreshnessTime: 48 Days, 23 Hours, 36 Minutes, 41 Seconds CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0 Issuer: CN=StartCom Class 1 Primary Intermediate Server CA, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL NotBefore: 2015/10/05 15:47 NotAfter: 2016/10/05 13:28 Subject: E=postmaster@XXXXX.jp, CN=www.XXXXX.jp, C=JP Serial: 06630b6180d4e4 SubjectAltName: DNS Name=www.XXXXX.jp, DNS Name=XXXXX.jp Cert: 0726ad4f36faaacbfc08068789b3dde16aa34171 Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ---------------- 証明書 AIA ---------------- 確認済み "証明書 (0)" 時刻: 0 [0.0] http://aia.startssl.com/certs/sub.class1.server.ca.crt ---------------- 証明書 CDP ---------------- 確認済み "Base CRL" 時刻: 0 [0.0] http://crl.startssl.com/crt1-crl.crl ---------------- Base CRL CDP ---------------- URL なし "なし" 時刻: 0 ---------------- 証明書 OCSP ---------------- 確認済み "OCSP" 時刻: 0 [0.0] http://ocsp.startssl.com/sub/class1/server/ca -------------------------------- CRL (null): Issuer: CN=StartCom Class 1 Server OCSP Signer, O=StartCom Ltd. (Start Commercial Limited), C=IL ThisUpdate: 2015/10/10 10:13 NextUpdate: 2015/10/12 10:13 CRL: fb79cf849a8b10079c28755972e70ed6f8b24d7c Application[0] = 1.3.6.1.5.5.7.3.1 サーバー認証 CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=0 Issuer: CN=StartCom Certification Authority, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL NotBefore: 2007/10/15 5:54 NotAfter: 2022/10/15 5:54 Subject: CN=StartCom Class 1 Primary Intermediate Server CA, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL Serial: 17153d9eab3fbf Cert: 0ad38a30abc0f0b605b45c727a90819e7ff9daf4 Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ---------------- 証明書 AIA ---------------- 確認済み "証明書 (0)" 時刻: 0 [0.0] http://aia.startssl.com/certs/ca.crt ---------------- 証明書 CDP ---------------- 確認済み "Base CRL" 時刻: 0 [0.0] http://crl.startssl.com/sfsca.crl ---------------- Base CRL CDP ---------------- URL なし "なし" 時刻: 0 ---------------- 証明書 OCSP ---------------- 確認済み "OCSP" 時刻: 0 [0.0] http://ocsp.startssl.com/ca -------------------------------- CRL (null): Issuer: CN=StartCom Certification Authority, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL ThisUpdate: 2015/08/22 10:51 NextUpdate: 2016/08/21 10:51 CRL: dc3e53d0f29a76e94a98c57e16fc142d7959eaca Issuance[0] = 1.3.6.1.4.1.23223.1.1.1 Application[0] = 1.3.6.1.5.5.7.3.1 サーバー認証 Application[1] = 1.3.6.1.5.5.7.3.2 クライアント認証 Application[2] = 1.3.6.1.5.5.7.3.4 電子メールの保護 Application[3] = 1.3.6.1.5.5.7.3.3 コード署名 Application[4] = 1.3.6.1.5.5.7.3.8 タイム スタンプ Application[5] = 1.3.6.1.4.1.311.10.3.4 暗号化ファイル システム Application[6] = 1.3.6.1.5.5.7.3.6 IP セキュリティ トンネル終端 Application[7] = 1.3.6.1.5.5.7.3.7 IP セキュリティ ユーザー CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0 Issuer: CN=StartCom Certification Authority, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL NotBefore: 2006/09/18 4:46 NotAfter: 2036/09/18 4:46 Subject: CN=StartCom Certification Authority, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL Serial: 01 Cert: 3e2bf7f2031b96f38ce6c4d8a85d3e2d58476a0f Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4) Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ---------------- 証明書 AIA ---------------- URL なし "なし" 時刻: 0 ---------------- 証明書 CDP ---------------- 確認済み "Base CRL" 時刻: 1 [0.0] http://cert.startcom.org/sfsca-crl.crl 確認済み "Base CRL" 時刻: 0 [1.0] http://crl.startcom.org/sfsca-crl.crl ---------------- Base CRL CDP ---------------- URL なし "なし" 時刻: 0 ---------------- 証明書 OCSP ---------------- URL なし "なし" 時刻: 0 -------------------------------- CRL (null): Issuer: CN=StartCom Certification Authority, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL ThisUpdate: 2015/08/22 10:51 NextUpdate: 2016/08/21 10:51 CRL: dc3e53d0f29a76e94a98c57e16fc142d7959eaca Issuance[0] = 1.3.6.1.4.1.23223.1.1.1 Application[0] = 1.3.6.1.5.5.7.3.1 サーバー認証 Application[1] = 1.3.6.1.5.5.7.3.2 クライアント認証 Application[2] = 1.3.6.1.5.5.7.3.4 電子メールの保護 Application[3] = 1.3.6.1.5.5.7.3.3 コード署名 Application[4] = 1.3.6.1.5.5.7.3.8 タイム スタンプ Application[5] = 1.3.6.1.4.1.311.10.3.4 暗号化ファイル システム Application[6] = 1.3.6.1.5.5.7.3.6 IP セキュリティ トンネル終端 Application[7] = 1.3.6.1.5.5.7.3.7 IP セキュリティ ユーザー Exclude leaf cert: Chain: e6470ea5645240a5247d161c1ba5e42955c3ef4a Full chain: Chain: 0e4768fa4f098f4f9fe4fd0068d36c9bc9e978d1 ------------------------------------ 確認された発行ポリシー: なし 確認されたアプリケーション ポリシー: 1.3.6.1.5.5.7.3.1 サーバー認証 Cert は End Entity 証明書です リーフ証明書の失効状態の確認: 有効です CertUtil: -verify コマンドは正常に完了しました。2.失敗の場合
発行者: CN=StartCom Class 1 Primary Intermediate Server CA OU=Secure Digital Certificate Signing O=StartCom Ltd. C=IL 名前ハッシュ (sha1): 6568874f40750f016a3475625e1f5c93e5a26d58 名前ハッシュ (md5): 5e3059ea38ba35c8ac13e33636c90bcf サブジェクト: E=postmaster@XXXXX.jp CN=www.XXXXX.jp C=JP 名前ハッシュ (sha1): 名前ハッシュ (md5): 証明書シリアル番号: 06630b6180d4e4 dwFlags = CA_VERIFY_FLAGS_ALLOW_UNTRUSTED_ROOT (0x1) dwFlags = CA_VERIFY_FLAGS_IGNORE_OFFLINE (0x2) dwFlags = CA_VERIFY_FLAGS_FULL_CHAIN_REVOCATION (0x8) dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000) dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000) ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN (0x20000000) HCCE_LOCAL_MACHINE CERT_CHAIN_POLICY_BASE -------- CERT_CHAIN_CONTEXT -------- ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ChainContext.dwRevocationFreshnessTime: 48 Days, 23 Hours, 53 Minutes, 44 Seconds SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) SimpleChain.dwRevocationFreshnessTime: 48 Days, 23 Hours, 53 Minutes, 44 Seconds CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0 Issuer: CN=StartCom Class 1 Primary Intermediate Server CA, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL NotBefore: 2015/10/05 15:47 NotAfter: 2016/10/05 13:28 Subject: E=postmaster@XXXXX.jp, CN=www.XXXXX.jp, C=JP Serial: 06630b6180d4e4 SubjectAltName: DNS Name=www.XXXXX.jp, DNS Name=XXXXX.jp Cert: 0726ad4f36faaacbfc08068789b3dde16aa34171 Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ---------------- 証明書 AIA ---------------- 確認済み "証明書 (0)" 時刻: 0 [0.0] http://aia.startssl.com/certs/sub.class1.server.ca.crt ---------------- 証明書 CDP ---------------- 確認済み "Base CRL" 時刻: 0 [0.0] http://crl.startssl.com/crt1-crl.crl ---------------- Base CRL CDP ---------------- URL なし "なし" 時刻: 0 ---------------- 証明書 OCSP ---------------- 確認済み "OCSP" 時刻: 0 [0.0] http://ocsp.startssl.com/sub/class1/server/ca -------------------------------- CRL (null): Issuer: CN=StartCom Class 1 Server OCSP Signer, O=StartCom Ltd. (Start Commercial Limited), C=IL ThisUpdate: 2015/10/10 10:13 NextUpdate: 2015/10/12 10:13 CRL: fb79cf849a8b10079c28755972e70ed6f8b24d7c Application[0] = 1.3.6.1.5.5.7.3.1 サーバー認証 CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=0 Issuer: CN=StartCom Certification Authority, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL NotBefore: 2007/10/15 5:54 NotAfter: 2022/10/15 5:54 Subject: CN=StartCom Class 1 Primary Intermediate Server CA, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL Serial: 17153d9eab3fbf Cert: 0ad38a30abc0f0b605b45c727a90819e7ff9daf4 Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ---------------- 証明書 AIA ---------------- 確認済み "証明書 (0)" 時刻: 0 [0.0] http://aia.startssl.com/certs/ca.crt ---------------- 証明書 CDP ---------------- 確認済み "Base CRL" 時刻: 0 [0.0] http://crl.startssl.com/sfsca.crl ---------------- Base CRL CDP ---------------- URL なし "なし" 時刻: 0 ---------------- 証明書 OCSP ---------------- 確認済み "OCSP" 時刻: 0 [0.0] http://ocsp.startssl.com/ca -------------------------------- CRL (null): Issuer: CN=StartCom Certification Authority, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL ThisUpdate: 2015/08/22 10:51 NextUpdate: 2016/08/21 10:51 CRL: dc3e53d0f29a76e94a98c57e16fc142d7959eaca Issuance[0] = 1.3.6.1.4.1.23223.1.1.1 Application[0] = 1.3.6.1.5.5.7.3.1 サーバー認証 Application[1] = 1.3.6.1.5.5.7.3.2 クライアント認証 Application[2] = 1.3.6.1.5.5.7.3.4 電子メールの保護 Application[3] = 1.3.6.1.5.5.7.3.3 コード署名 Application[4] = 1.3.6.1.5.5.7.3.8 タイム スタンプ Application[5] = 1.3.6.1.4.1.311.10.3.4 暗号化ファイル システム Application[6] = 1.3.6.1.5.5.7.3.6 IP セキュリティ トンネル終端 Application[7] = 1.3.6.1.5.5.7.3.7 IP セキュリティ ユーザー CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0 Issuer: CN=StartCom Certification Authority, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL NotBefore: 2006/09/18 4:46 NotAfter: 2036/09/18 4:46 Subject: CN=StartCom Certification Authority, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL Serial: 01 Cert: 3e2bf7f2031b96f38ce6c4d8a85d3e2d58476a0f Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4) Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ---------------- 証明書 AIA ---------------- URL なし "なし" 時刻: 0 ---------------- 証明書 CDP ---------------- 確認済み "Base CRL" 時刻: 1 [0.0] http://cert.startcom.org/sfsca-crl.crl 確認済み "Base CRL" 時刻: 0 [1.0] http://crl.startcom.org/sfsca-crl.crl ---------------- Base CRL CDP ---------------- URL なし "なし" 時刻: 0 ---------------- 証明書 OCSP ---------------- URL なし "なし" 時刻: 0 -------------------------------- CRL (null): Issuer: CN=StartCom Certification Authority, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL ThisUpdate: 2015/08/22 10:51 NextUpdate: 2016/08/21 10:51 CRL: dc3e53d0f29a76e94a98c57e16fc142d7959eaca Issuance[0] = 1.3.6.1.4.1.23223.1.1.1 Application[0] = 1.3.6.1.5.5.7.3.1 サーバー認証 Application[1] = 1.3.6.1.5.5.7.3.2 クライアント認証 Application[2] = 1.3.6.1.5.5.7.3.4 電子メールの保護 Application[3] = 1.3.6.1.5.5.7.3.3 コード署名 Application[4] = 1.3.6.1.5.5.7.3.8 タイム スタンプ Application[5] = 1.3.6.1.4.1.311.10.3.4 暗号化ファイル システム Application[6] = 1.3.6.1.5.5.7.3.6 IP セキュリティ トンネル終端 Application[7] = 1.3.6.1.5.5.7.3.7 IP セキュリティ ユーザー Exclude leaf cert: Chain: e6470ea5645240a5247d161c1ba5e42955c3ef4a Full chain: Chain: 0e4768fa4f098f4f9fe4fd0068d36c9bc9e978d1 ------------------------------------ 確認された発行ポリシー: なし 確認されたアプリケーション ポリシー: 1.3.6.1.5.5.7.3.1 サーバー認証 Cert は End Entity 証明書です エラー: リーフ証明書の失効状態の確認は 失効サーバーがオフラインのため、失効の関数は失効を確認できませんでした。 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) を返しました CertUtil: 失効サーバーがオフラインのため、失効の関数は失効を確認できませんでした。 CertUtil: -verify コマンドは正常に完了しました。
