none
Не работает OCSP RRS feed

  • Вопрос

  • Добрый день! 
    На предприятии развёрнут двухуровневый  PKI, с отключенным RCA и публикующим  ICA.

    Вчера в IIS 8 был заменён сертификат для SSL что бы заходить на web консоль запроса сертификатов certsrv. 
    На консоль заходит, но пишет что имя сертификата не совпадает с именем узла. 
    Но сегодня я обнаружил что отвалился  сетевой ответчик. В его оснастке написано:

    Сбой поставщика отзыва. При текущей конфигурации. Невозможно проверить функцию отзыва т.к. сервер отзыва сертификатов недоступен. 
    Подозреваю что дело сугубо в IIS 8 ибо больше нигде изменения не проводились! 

    30 сентября 2014 г. 6:59

Ответы

Все ответы

  • Какой порядок следования записей в CDP?

    Что говорит PKIView?

    30 сентября 2014 г. 7:20
  • Какой порядок следования записей в CDP?

    Что говорит PKIView?

    Где посмотреть порядок следования CDP?
    Вот что показывает PKIView:

    http://s019.radikal.ru/i616/1409/29/d7f782b98f58.jpg

    30 сентября 2014 г. 7:39
  • Порядок просмотра CDP определяется на вкладке Extensions окна свойств CA (mmc-консоль Certification Authority).

    Кстати, Вы PKIView где запускали с корневого offline CA или issuing CA?

    Для корневого CA PKIView все корректно?

    По всем http-ссылкам (из PKIView) CDP и Delta CRL можете загрузить списки отзыва сертификатов?

    30 сентября 2014 г. 8:01
  • CDP распологаются так:

    С:\Windows\system32\CertEnroll\<CaName><CRLNNameSuffix><DeltaCRLAllowed>.crl

    http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

    http://crln.easystep.local/CAnev.crl -по этой ссылке в закачки браузера падает файл списка отзывов

    PKI view запускал на ICA. Root CA отключен.
    Поссылками можно загрузить только списки отзывов, разностные crl не грузятся, ошибка 404.
    То есть работают 2 и 4 снизу (на скриншоте) ссылки.
    Переустановил службу сетевого ответчика и службу регистрации сертификатов через интернет. Всё равно не помогло. 

    30 сентября 2014 г. 8:25
  • В конфигурацию отзыва OCSP добавил поставщика для разностных crl http://crln.easystep.local/CAnev.crl
    Теперь пишет что сетевой ответчик успешно использует текущую конфигурацию

    Но в  PKI view всё равно ошибка. 
    Файлы crl по данным адресам доступны, в центре сертификации в расширениях AIA добавлено всё, обе галки стоят. 
    Тупик какой-то...

    30 сентября 2014 г. 8:59
  • Проблема явно со списками отзыва сертификатов.

    Зачем у Вас целых 4 delta CRL на одном http-сервере?

    Судя по скриншоту PKIView у Вас Base CRL (CDP #2) и Delta CRL (DeltaCRL #2)  в одно и то же место публикуются с одним и тем же именем файла (CAnew.crl)!

    В каком порядке в сертификатах идут AIA и CDP? Если первые пути недоступны, то может по тайм-ауту отваливаться проверка на отзыв сертификата.

    Посмотрите есть ли файлы списков отзыва в C:\Windows\System32\certsrv\CertEnroll\ на компьютерах CANEV и CRLN?

    На издающем CA посмотрите любой действующий сертификат в консоли Certification Authority, Issued Certificates:

    • Изменено Рыхлый 30 сентября 2014 г. 9:20
    30 сентября 2014 г. 9:17
  • Еще один момент - в IIS'е случайно в настройках нигде не стоит требовать https вместо http?

    При попытке открыть недоступный CRL по http://canev... на https в браузере не переключает?

    30 сентября 2014 г. 9:35
  • Я не могу удалить записи об этих точках распространения. Подчистил их где только можно, но в PKIWiev они всё равно остаются. 
    Вот порядок: 

    Файлы в указанной папке есть, и базовые и разностные. 
     Crln- это папка, в корне диска c:\ на компьютере canev. Там лежат crl и crl+ 
    Просто копирую туда вручную файлы из certenroll. Сделано не мной, остаётся только догадываться зачем, но до этого момента работало.

    Если открыть любой действующий сертификат, то в свойствах нет строчки Extendet Error Information как у Вас.

    30 сентября 2014 г. 9:38
  • Еще один момент - в IIS'е случайно в настройках нигде не стоит требовать https вместо http?

    При попытке открыть недоступный CRL по http://canev... на https в браузере не переключает?

    когда пытаюсь в IIS просмотреть сайт ocsp в браузере как раз выскакивает https с предупреждением о сертификате. 
    Пробовал отключать "требовать SSL" -не помогло. 
    Мне кажется дело именно в IIS, вчера менял там SSL сертификат для CertSrv, мог что-то переключить. Но переустановка роли,а соответственно и веб службы не помогла.
    30 сентября 2014 г. 9:50
  • "Чистка" AIA и CDP влияет только на вновь издаваемые сертификаты - в них не будет удаленных точек.

    Если в уже изданных сертификатах были ссылки на удаленные CDP и туда больше не будет идти публикация CRL, то проверка на отзыв проходить не будет!

    crln у Вас в DNS'е как CNAME на canew прописан? М.б. туда публикуются CRL'ы с корневого CA? Этот CRL не просрочен?

    30 сентября 2014 г. 9:53
  • попытка подключиться к http://canev.easystep.local/ocsp приводит к ошибке 500
    30 сентября 2014 г. 9:53

  • crln у Вас в DNS'е как CNAME на canew прописан? 

    не совсем понял... 
    Перевыпустил crl'ы в том числе корневого, сложил всё в нужну. папку. Ситуация не изменидась.Crl -не просрочены.

    М.б. туда публикуются CRL'ы с корневого CA? 

    Туда складываю руками crl'ы из папок certenroll. Публикую списки отзывов, переименовываю их как canev.crl и root.crl  и складываю в папку crl. 
    Повторюсь -было сделано не мной, не знаю зачем. Но из этой папки списки отзывов скачиваются.

    30 сентября 2014 г. 9:57
  • http://crln.easystep.local/root.crl может открыть (загрузить файл отзыва сертификатов root.crl)? На https не переключает?
    30 сентября 2014 г. 9:58
  • http://crln.easystep.local/root.crl может открыть (загрузить файл отзыва сертификатов root.crl)? На https не переключает?
    я не вижу переключает он или нет, поскольку файл мгновенно скачивается и адресная строка очищается
    30 сентября 2014 г. 10:02
  • Если файл успешно скачивается, значит все ОК.

    Вернемся к скриншоту PKIView:

    1. Для всех строк с http - файлы с указанными в пути именами есть на сервере (в папках certenroll и crln)?

    2. Для IIS - в Site Bindings для https указан сертификат? Какие сайты в IIS'е есть? Какие сейчас для всех сайтов SSL settings?

    30 сентября 2014 г. 10:16
  • Все файлы на своих местах.
    Для https указан сертификат который я вчера привязал. Он выпущен по шаблону web-server.
    Есть сайты: crln - ssl не требуется. Тут публикуются crl которые лежат в папке crln в коне диска С:\ (я упоминал выше).

    Default Web Site - требовать SSL, игнорировать сертификаты клиента.

    Развернув Default Web Site: 

    CertSrv -требовать SSL, игнорировать сертификаты клиента.

    OCSP - галка требовать SSL не стоит. 

    30 сентября 2014 г. 10:36
  • Отключите для Default Web Site требовать SSL и проверьте, что для CertSrv и OCSP настройки SSL не изменились. Перезапустите службу IIS и еще раз проверьте настройки SSL.

    Выложите скриншот - что сейчас показывает PKIView.

     
    30 сентября 2014 г. 10:56
  • Сделал всё как написали. 
    Картинка в PKIView не изменилась.


    30 сентября 2014 г. 11:04
  • Т.е. с компьютера, где запущен PKIView руками все списки отзыва нормально загружаются, а сам PKIView их загрузить не может?
    30 сентября 2014 г. 11:19
  • Т.е. с компьютера, где запущен PKIView руками все списки отзыва нормально загружаются, а сам PKIView их загрузить не может?

    верно! именно так! 
    Дико извиняюсь! 
    Сейчас перепроверили, файлы скачиваются по указанным ссылкам но на любом другом компьютере кроме самого CA. Именно на CA эти ссылки недоступны. Сам себя пингует. 
    30 сентября 2014 г. 13:34
  • Значит проверяйте настройки IP, DNS и т.п. на CA. Раз он сам не может проверить списки отзыва, значит и OCSP из-за этого не работает.

    1 октября 2014 г. 4:00