none
Состояние отзыва: Невозможно проверить функцию отзыва RRS feed

  • Вопрос

  • Есть DC AD CA 2016 - в просмотре сертификатов, а именно состояние отзыва указано:Состояние отзыва: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен .

    В оснастке PKI все ок, в логах нет ошибок связанное с этим. 

    См скрин. Подскажите, как решить проблему.

    25 апреля 2019 г. 17:55

Все ответы

  • Проверьте сертификат командойсertutil –verify -urlfetch –v файл_сертификата

    Она попробует загрузить список отзыва и напишет, почему это невозможно.


    Слава России!

    25 апреля 2019 г. 18:21
  • По подробнее можно, если у меня серт локально в загрузках лежит я могу его проверить таким способом?
    25 апреля 2019 г. 19:11
  • По подробнее можно, если у меня серт локально в загрузках лежит я могу его проверить таким способом?
    думаю что самым простым способом проверить "можно ли сертификат таким способом проверить локально" это таки взять и проверить

    The opinion expressed by me is not an official position of Microsoft

    25 апреля 2019 г. 19:26
    Модератор
  • Правильно понимаю, что здесь все в норме?

    C:\Windows\system32>certutil -f -urlfetch -verify C:\temp\alpha.cer
    Поставщик:
        CN=test CA
        DC=test
        DC=local
      Хэш имени (sha1): 85af3aab358877a82a1c1c03d793af3651d7b6ac
      Хэш имени (md5): 62e533f500be1c638fdb2e687c0c30c4
    Субъект:
        E=administrator@test.ru
        CN=alpha.test.local
        OU=IT
        O=Test ltd
        L=Moscow
        S=Moscow
        C=RU
      Хэш имени (sha1): ce222acea317c84f07dd57e5cb811656ca2****
      Хэш имени (md5): dd35c32252cd485ae87573511da2***
    Серийный номер сертификата: 2b0000020e7a7b4c5fdfa5799200000000****

    dwFlags = CA_VERIFY_FLAGS_ALLOW_UNTRUSTED_ROOT (0x1)
    dwFlags = CA_VERIFY_FLAGS_IGNORE_OFFLINE (0x2)
    dwFlags = CA_VERIFY_FLAGS_FULL_CHAIN_REVOCATION (0x8)
    dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
    dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
    ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN (0x20000000)
    HCCE_LOCAL_MACHINE
    CERT_CHAIN_POLICY_BASE
    -------- CERT_CHAIN_CONTEXT --------
    ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)

    SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)

    CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
      Issuer: CN=Test CA, DC=test, DC=local
      NotBefore: 25.04.2019 0:04
      NotAfter: 24.04.2021 0:04
      Subject: E=administrator@test.ru, CN=alpha.test.local, OU=IT, O=Test ltd, L=Moscow, S=Moscow, C=RU
      Serial: 2b0000020e7a7b4c5fdfa57992000000000****
      Template: WebServer
      Cert: 2b3f5457b233e26dd2abe33a297e343518a5****
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Проверено "Сертификат (0)" Время: 0 e7c60e90f4718cd1a58725b1e45cda4980956***
        [0.0] ldap:///CN=Test%20CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=test,DC=local?cACertificate?base?objectClass=certificationAuthority

      ----------------  Сертификат CDP  ----------------
      Проверено "Базовый CRL (0104)" Время: 0 9c6bd8f5d6503b3eaeebf8e6e2333c970fdcf***
        [0.0] ldap:///CN=Test%20CA,CN=Test,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=test,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint

      Проверено "Разностный CRL (0104)" Время: 0 4d0c60aceb6e02121bbfc86e0adbcfe331639***
        [0.0.0] ldap:///CN=Test%20CA,CN=Test,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=test,DC=local?deltaRevocationList?base?objectClass=cRLDistributionPoint

      ----------------  Базовый CRL CDP  ----------------
      ОК "Разностный CRL (0104)" Время: 0 4d0c60aceb6e02121bbfc86e0adbcfe331639747
        [0.0] ldap:///CN=Test%20CA,CN=Test,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=test,DC=local?deltaRevocationList?base?objectClass=cRLDistributionPoint

      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0 (null)
      --------------------------------
        CRL fd:
        Issuer: CN=Test CA, DC=test, DC=local
        ThisUpdate: 18.04.2019 11:25
        NextUpdate: 25.04.2019 23:45
        CRL: 0aaf67ac68e3327aef04f169b4e307ca3877bcb1
        Delta CRL 0104:
        Issuer: CN=Test CA, DC=test, DC=local
        ThisUpdate: 25.04.2019 11:25
        NextUpdate: 26.04.2019 23:45
        CRL: 4d0c60aceb6e02121bbfc86e0adbcfe331639747
      Application[0] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера

    CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
      Issuer: CN=Test CA, DC=test, DC=local
      NotBefore: 09.08.2018 11:23
      NotAfter: 09.08.2033 11:33
      Subject: CN=Test CA, DC=test, DC=local
      Serial: 290beaffe82df7bb43ca6c508064a***
      Cert: e7c60e90f4718cd1a58725b1e45cda4980956***
      Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
      Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Отсутствуют URL "Нет" Время: 0 (null)
      ----------------  Сертификат CDP  ----------------
      Отсутствуют URL "Нет" Время: 0 (null)
      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0 (null)
      --------------------------------

    Exclude leaf cert:
      Chain: 737b4eea18b0172009e51b66a10bbf1428845***
    Full chain:
      Chain: 7ed2cafac0cc8b878254d0635e4b1f3180a9e***
    ------------------------------------
    Проверенные политики выдачи: Нет
    Проверенные политики применения:
        1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
    Проверка отзыва сертификата выполнена
    CertUtil: -verify — команда успешно выполнена.


    25 апреля 2019 г. 19:33
  • Есть идеи?
    26 апреля 2019 г. 15:41
  • Какие идеи вам нужны?

    Вы certutil откуда запускали? С того компьютера,  где сертификат смотрели (первое сообщение)? Компьютер, где вы сертификат смотрели - он в домене? Учетная запись, из-под которой смотрели - доменная?


    Слава России!


    • Изменено M.V.V. _ 26 апреля 2019 г. 17:09
    26 апреля 2019 г. 17:08
  • Запускал с локального пк. Пк в домене, учетная запись - доменная.
    29 апреля 2019 г. 17:56
  • Отписался ниже, поможете?
  • идеи кончились?