none
Центр сертификации RootCA + IssueCA crl RRS feed

  • Вопрос

  • Поднял центр сертификации standalone RootCA + enterprice IssueCA на windows server 2008R2 Standart. Столкнулся с проблемами списков отзыва crl.

    На IssueCA в PKI предприятия раз в неделю появляется ошибка в связи с тем что списки отзыва просрочены. Приходиться вручную перетаскивать на web server iis который работает там же. Как можно автоматизировать данный процесс? Я так понимаю это дело можно делать скриптами. Может кто поделится?

    И еще с теми же списками отзыва только на RootCA, если он постоянно offline, то как мне сделать чтоб список отзыва RootCA не был просрочен через неделю? Т.е мне так же раз в неделю приходится его включать и перетаскивать crl на iis. Заранее благодарен за помощь. 

    10 июля 2014 г. 2:30

Ответы

  • Смотря где находится этот веб-сервер. Если между IssueCA и веб-сервером разрешен обычный NETBIOS траффик, то вы можете сразу публиковать crl в сетевую папку на веб-сервере по схеме FILE://.

    Например,так

    file://\\WebServerName/ShareName/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

    При этом указывать данную точку CDP в сертификате не нужно.

    Конечно, учетная запись компьютера IssueCA должна иметь право на запись в шару.

    По поводу CRL корневого сервера. Просто увеличьте срок действия CRL. Неделя - неоправданно часто.

    Это можно сделать в графическом интерфейсе на RootCA или командами

    certutil -setreg ca\CRLPeriodUnits 180

    certutil -setreg ca\CRLPeriod days

     В примере срок жизни CRL стал 180 дней.


    Microsoft Certified Doing Nothing Expert



    • Изменено Dmitry Zobnin 10 июля 2014 г. 7:49
    • Помечено в качестве ответа Dorohov Ruslan 10 июля 2014 г. 10:13
    10 июля 2014 г. 7:48

Все ответы

  • Смотря где находится этот веб-сервер. Если между IssueCA и веб-сервером разрешен обычный NETBIOS траффик, то вы можете сразу публиковать crl в сетевую папку на веб-сервере по схеме FILE://.

    Например,так

    file://\\WebServerName/ShareName/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

    При этом указывать данную точку CDP в сертификате не нужно.

    Конечно, учетная запись компьютера IssueCA должна иметь право на запись в шару.

    По поводу CRL корневого сервера. Просто увеличьте срок действия CRL. Неделя - неоправданно часто.

    Это можно сделать в графическом интерфейсе на RootCA или командами

    certutil -setreg ca\CRLPeriodUnits 180

    certutil -setreg ca\CRLPeriod days

     В примере срок жизни CRL стал 180 дней.


    Microsoft Certified Doing Nothing Expert



    • Изменено Dmitry Zobnin 10 июля 2014 г. 7:49
    • Помечено в качестве ответа Dorohov Ruslan 10 июля 2014 г. 10:13
    10 июля 2014 г. 7:48
  • ISS находиться прям на IssueCA, идею понял. Спасибо.

    Какой срок так скажем оптимальный из хорошей практики для CRL RootCA выставить?

    10 июля 2014 г. 9:27
  • Какой срок так скажем оптимальный из хорошей практики для CRL RootCA выставить?

    Меньше 30 дней не рекомендуется, вы уже почувствовали почему.

    Обычно ставят от 6 месяцев до года.


    Microsoft Certified Doing Nothing Expert

    10 июля 2014 г. 9:35
  • Спасибо за ответы.
    10 июля 2014 г. 10:13