none
Не удается проверить не отозван ли сертификат RRS feed

  • Вопрос

  • Всем доброго дня.

    Никак не могу подключиться по рдп из вне к машине с win7 , получаю ошибку Не удалось проверить ,не был ли отозван сертификат.

    вывод с машины вне AD  - certutil -verify -urlfetch 2.cer (сертификат который не удается проверить)

    c:\>certutil -verify -urlfetch 2.cer
    Поставщик:
        CN=FRG
        DC=dp
        DC=net
    Субъект:
        EMPTY (DNS-имя=lopatkov.dp.net)
    Серийный номер сертификата: 610636a3000000000066

    dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
    dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
    ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
    HCCE_LOCAL_MACHINE
    CERT_CHAIN_POLICY_BASE
    -------- CERT_CHAIN_CONTEXT --------
    ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    ChainContext.dwRevocationFreshnessTime: 4 Hours, 38 Minutes, 28 Seconds

    SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    SimpleChain.dwRevocationFreshnessTime: 4 Hours, 38 Minutes, 28 Seconds

    CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
      Issuer: CN=FRG, DC=dp, DC=net
      NotBefore: 30.04.2012 22:41
      NotAfter: 30.04.2014 22:51
      Subject:
      Serial: 610636a3000000000066
      SubjectAltName: DNS-имя=lopatkov.dp.net
      Template: 1.3.6.1.4.1.311.21.8.8560721.4422828.11945390.5804364.248963.65.4125
    03.16085895
      3d ba c6 1f b3 21 6e d8 fa 90 be 8e 59 c0 93 ac 87 7a 3f c2
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Проверено "Сертификат (0)" Время: 0
        [0.0] http://mail.dp.ru:81/CertEnroll/RootCA.dp.net_FRG.crt

      ----------------  Сертификат CDP  ----------------
      Проверено "Базовый CRL (04)" Время: 0
        [0.0] http://mail.dp.ru:81/CertEnroll/FRG.crl

      ----------------  Базовый CRL CDP  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------
        CRL 04:
        Issuer: CN=FRG, DC=dp, DC=net
        06 f1 90 a9 32 9a 3a 8c 7f 13 eb cd ab e9 50 49 36 2a 0f cf
      Application[0] = 1.3.6.1.4.1.311.54.1.2

    CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
      Issuer: CN=FRG, DC=dp, DC=net
      NotBefore: 24.04.2012 18:12
      NotAfter: 24.04.2022 18:22
      Subject: CN=FRG, DC=dp, DC=net
      Serial: 5b62d1300a9315954d0fca4c2eaa0076
      Template: CA
      f1 d2 c1 1b bd e5 7b 6e 32 6e e0 dd de 28 90 05 5d 9d b2 22
      Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
      Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  Сертификат CDP  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------

    Exclude leaf cert:
      0e 72 22 ca d3 4f be 90 6a be 7d 62 db 96 ee 72 8a 34 f2 65
    Full chain:
      cd ed 1f 5f 66 ae 02 70 4c 2a 10 89 ad 85 73 21 72 6e 61 09
    ------------------------------------
    Проверенные политики выдачи: Нет
    Проверенные политики применения:
        1.3.6.1.4.1.311.54.1.2
    Проверка отзыва сертификата выполнена
    CertUtil: -verify - команда успешно выполнена.

    Причем самое интересно что внутри сети (ЛДАП не опубликован в списках AIA и CDR ) вывод точно такой- же , и даже если стопнуть иис тем самым получив ошибку  ----------------

      ----------------  Сертификат AIA  ----------------
      Ошибка "AIA" Время: 0
        Ошибка при получении URL: Сервер вернул недопустимый или нераспознанный отве
    т 0x80072f78 (WIN32: 12152)
        http://mail.dp.ru:81/CertEnroll/RootCA.dp.net_FRG.crt

      ----------------  Сертификат CDP  ----------------
      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Сервер вернул недопустимый или нераспознанный отве
    т 0x80072f78 (WIN32: 12152)
        http://mail.dp:81/CertEnroll/FRG.crl

    В этих пунктах ,подключение удается (самоподписаный сертификат не создается). 

    Кто подскажет в чем проблема ? 

    30 апреля 2012 г. 19:51

Все ответы

  • Для начала попробуйте с той же машины, на которой вы проверяете цепочку, открыть браузер и вбить в адресную строку

    http://mail.dp.ru:81/CertEnroll/FRG.crl

    Если все ок, вы должны получить приглашение на сохранение crl-файла


    5 июля 2012 г. 12:23
  • В дополнение, в Вашем сертификате, прописан адрес для проверки СОС. Для корректной проверки СОС, доступ к списку отзыва сертификатов должен быть открытым. Для проверки, вставьте адрес проверки СОС из Вашего сертификата в адресную строку браузера, если доступ есть, то Вам будет предложено на выбор или Выполнить или Сохранить список.

    Да, я Жук, три пары лапок и фасеточные глаза :))


    Модератор