none
[PKI] Проходит логон по смарткартам с отозванными сертификатами. RRS feed

  • Общие обсуждения

  • Добрый день.

    В организации используются смарт-карты с сертификатами "вход по смарт-карте", выпущенными на Enterprise Microsoft CA (развернут на WIndows Server 2012).

    После выпуска сертификата и записи на смарт-карту вход в систему на доменных рабочих станциях работает.

    Проблема возникает при попытке отзыва сертификата - после этого вход со смарт-карты всё равно работает.

    В качестве CDP используется LDAP. Затем, в качестве эксперимента также добавлялась публикация CRL на веб-сервере.

    При этом производилась принудительная публикация CRL. С помощью pkiview.msc видно, что CRL публикуются.

    С помощью "certutil -utl" проверялось, что CDP доступны как с сервера CA, так и с клиентских рабочих станций.

    При этом с помощью команды certutil -verify (или в случае смарт-карты certutil -scinfo) на клиентской рабочей станции показывается, что сертификат проверен и "статус - ОТОЗВАН". CRL кэш чистил.

    При всем этом зайти с данными сертификатами на рабочие станции всё равно можно.

    Надеюсь на помощь. Заранее благодарю.


    23 октября 2013 г. 15:21

Все ответы

  • Не остался ли старый CRL в хранилище компьютера (а не пользователя)?


    Слава России!

    23 октября 2013 г. 18:55
  • Update информации.

    Утром вход с этой смарт-картой уже был не возможен. Сообщалось, что сертификат отозван. В связи с этой информацией начинаю грешить в сторону обмена информации между домен-контроллерами (их в этом сайте 3 штуки).

    Вопрос про CRL в хранилище компьютера понял не до конца. Списков отозванных на клиентских машинах вообще никогда не загружается в хранилище компьютера (и, вроде, не должен). Или речь о чем-то другом?

    Должен ли CRL загружаться в хранилища контроллеров доменов? Может у кого-нибудь есть идеи, как ускорить понимание машинами того, что сертификат уже отозван. Расписание публикации CRL в Ldap точно не при чем - как я уже упоминал, списки формируются и через certutil можно проверить, что сертификат и правда отозван.


    24 октября 2013 г. 14:40
  • Отзыв сертификатов в данном случае не является первоочередной мерой. В случае, когда необходимо отозвать сертификат смарт-карты (или другой пользовательский сертификат, который используется для аутентификации пользователя), в первую очередь необходимо отключить учётную запись пользователя. В Windows реакция на отзыв не мгновенная и CRL'ы и ответы OCSP кэшируются. Вы вычистили кэш на рабочей станции, а на контроллере нет. Поэтому сначала отключаем учётную запись, отзываем сертификат, публикуем CRL'ы, действуем дальше по инструкции (CPS, если есть).

    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    Check out new: PowerShell FCIV tool.

    31 октября 2013 г. 7:15