none
Enterprise CA - настройка сетевого ответчика OCSP RRS feed

Ответы

Все ответы

  • Покажите как у вас настроена Revocation Configuration.

    И еще проверьте работу OCSP через certutil -verify как описано в разделе "Verify OCSP Configuration" вот этой статьи 


    Microsoft Certified Do Nothing Expert

    2 июля 2014 г. 18:49
  • Настройки Revocation Configuration:

  • Настройки Revocation Configuration:

    Я экспортировал сертификат, используемый OCSP в файл, и с помощью утилиты URL Retrieval Tool проверил все 3 сертификата:

    ocsp.cer - сертификат, используемый OCSP - No URLs

    bki_RCA - сертификат ROOT CA - No URLs

    bki_PICA - сертификат SUB CA - ссылки есть, кроме OCSP (from AIA)

  • ocsp.cer - сертификат, используемый OCSP - No URLs

    bki_RCA - сертификат ROOT CA - No URLs

    bki_PICA - сертификат SUB CA - ссылки есть, кроме OCSP (from AIA)

    :)

    ocsp.cer - этот сертификат не проверяется на отзыв. Вообще. Он избранный )

    В сертификатах bki_RCA и  bki_PICA нет строчки http://.../ocsp. Вы их издавали еще до того как начали разворачивать OCSP.

    Поэтому по сути вы ничего не проверили.

    Издайте новый пользовательский сертификат, убедитесь, что в его расширении AIA присутствует строка http://.../ocsp. Вот его и проверяйте.


    Microsoft Certified Do Nothing Expert

  • На сервере kvv-subca уже есть пользовательский сертификат Administrator, если проверять его, то http://.../ocsp есть:

  • Ну чтож, это говорит нам, что сервис OCSP доступен по адресу http://kvv-subca.bki.local/ocsp.

    А по адресу http://kvv-issuing.bki.local/ocsp - недоступен.

    Кстати, почему у вас их два?

    Для полноты картины дайте вывод команды

    certutil -verify -urlfetch <path to the Administrator certificate>


    Microsoft Certified Do Nothing Expert

    3 июля 2014 г. 10:50
  • В свойствах kvv-subca я хочу в дальнейшем удалить ссылку http://kvv-subca.bki.local/ocsp и оставить http://kvvissuing.bki.local/ocsp<o:p></o:p>

    На WEB-сервере kvv-issuing.bki.local хочу настроить проксирование, чтобы клиенты обращались к
    kvv-subca.bki.local через kvv-issuing.bki.local.
    <o:p></o:p>

    Но сейчас я пытаюсь выяснить, почему оснастка pkiview показывает, что ссылка http://kvv-subca.bki.local/ocsp недоступна.

    Issuer:
        CN=KVV-SUBCA
        DC=bki
        DC=local
      Name Hash(sha1): 8e5108a8417fb8c9cb35c0e791f9d612ef6f3d68
      Name Hash(md5): 933df41b1384e9c9ace402b0d2df73a4
    Subject:
        CN=Administrator
        CN=Users
        DC=bki
        DC=local
      Name Hash(sha1): 46d94cd24349cf2a64e03aa141c20078c74da662
      Name Hash(md5): 50b9a2a3253edeb5286ccee40abb7936
    Cert Serial Number: 610000000f12bc6faec2c388cf00000000000f
    
    dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
    dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
    ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
    HCCE_LOCAL_MACHINE
    CERT_CHAIN_POLICY_BASE
    -------- CERT_CHAIN_CONTEXT --------
    ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    ChainContext.dwRevocationFreshnessTime: 8 Days, 1 Hours, 56 Minutes, 27 Seconds
    
    SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    SimpleChain.dwRevocationFreshnessTime: 8 Days, 1 Hours, 56 Minutes, 27 Seconds
    
    CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
      Issuer: CN=KVV-SUBCA, DC=bki, DC=local
      NotBefore: 03.07.2014 13:12
      NotAfter: 03.07.2015 13:12
      Subject: CN=Administrator, CN=Users, DC=bki, DC=local
      Serial: 610000000f12bc6faec2c388cf00000000000f
      SubjectAltName: Other Name:Principal Name=administrator@bki.local
      Template: User
      e4aacc7b3da07bfa73e6621d2830ca5740ea2325
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Certificate AIA  ----------------
      Verified "Certificate (0)" Time: 0
        [0.0] http://kvv-issuing.bki.local/pki/bki_PICA.crt
    
      ----------------  Certificate CDP  ----------------
      Verified "Base CRL (03)" Time: 0
        [0.0] http://kvv-issuing.bki.local/pki/bki_PICA.crl
    
      Verified "Delta CRL (03)" Time: 0
        [0.0.0] http://kvv-issuing.bki.local/pki/bki_PICA+.crl
    
      ----------------  Base CRL CDP  ----------------
      OK "Delta CRL (07)" Time: 0
        [0.0] http://kvv-issuing.bki.local/pki/bki_PICA+.crl
    
      ----------------  Certificate OCSP  ----------------
      Failed "OCSP" Time: 0
        Error retrieving URL: Not found (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)
        http://kvv-issuing.bki.local/ocsp
    
      Verified "OCSP" Time: 0
        [1.0] http://kvv-subca.bki.local/ocsp
    
      --------------------------------
        CRL 03:
        Issuer: CN=KVV-SUBCA, DC=bki, DC=local
        ThisUpdate: 01.07.2014 18:55
        NextUpdate: 07.07.2014 19:15
        e7f048324c3269204d6344162f762111c902580c
        Delta CRL 07:
        Issuer: CN=KVV-SUBCA, DC=bki, DC=local
        ThisUpdate: 03.07.2014 6:55
        NextUpdate: 04.07.2014 7:15
        0d8a03da59ba02149459da88b3056cc20cc60dee
      Application[0] = 1.3.6.1.4.1.311.10.3.4 Encrypting File System
      Application[1] = 1.3.6.1.5.5.7.3.4 Secure Email
      Application[2] = 1.3.6.1.5.5.7.3.2 Client Authentication
    
    CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=0
      Issuer: CN=KVV-ROOTCA
      NotBefore: 25.06.2014 13:23
      NotAfter: 25.06.2024 13:21
      Subject: CN=KVV-SUBCA, DC=bki, DC=local
      Serial: 1d000000020bade0cc3d9cde9c000000000002
      Template: SubCA
      29b207d66e1f90e4624bea27681e358c2518e41a
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Certificate AIA  ----------------
      Verified "Certificate (0)" Time: 0
        [0.0] http://www.kvv-issuing.bki.local/pki/bki_RCA.crt
    
      ----------------  Certificate CDP  ----------------
      Verified "Base CRL (02)" Time: 0
        [0.0] http://www.kvv-issuing.bki.local/pki/bki_RCA.crl
    
      ----------------  Base CRL CDP  ----------------
      No URLs "None" Time: 0
      ----------------  Certificate OCSP  ----------------
      No URLs "None" Time: 0
      --------------------------------
        CRL 02:
        Issuer: CN=KVV-ROOTCA
        ThisUpdate: 25.06.2014 13:13
        NextUpdate: 07.10.2014 13:33
        b84541dc865a3aeb40d43409db288bd3db99a258
    
    CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0
      Issuer: CN=KVV-ROOTCA
      NotBefore: 25.06.2014 13:11
      NotAfter: 25.06.2024 13:21
      Subject: CN=KVV-ROOTCA
      Serial: 256b75606211d9844c634d5596eaa6fa
      741d548d51e5b39b873d5613b701d1b5d095b42d
      Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
      Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Certificate AIA  ----------------
      No URLs "None" Time: 0
      ----------------  Certificate CDP  ----------------
      No URLs "None" Time: 0
      ----------------  Certificate OCSP  ----------------
      No URLs "None" Time: 0
      --------------------------------
    
    Exclude leaf cert:
      934de160dc330b1e97051915078611e5297aaf8c
    Full chain:
      6e13e63622dd9a7d7737a3d035fb9ae8e477dc11
    ------------------------------------
    Verified Issuance Policies: None
    Verified Application Policies:
        1.3.6.1.4.1.311.10.3.4 Encrypting File System
        1.3.6.1.5.5.7.3.4 Secure Email
        1.3.6.1.5.5.7.3.2 Client Authentication
    Leaf certificate revocation check passed
    CertUtil: -verify command completed successfully.
    3 июля 2014 г. 11:12
  • Скорее всего это просто глюк отображения:

    PKIView uses the latest CA Exchange certificate. You can go to the CA, delete the CA Exchange certificate from the local machine store (used to protect archived private keys during cert issuance). Then restart Certificate Serivces. This will request a new CA Exchange certificate with the corrected OCSP URL information.
    Then try running PKIView again.

    Источник: http://social.technet.microsoft.com/Forums/windowsserver/en-US/d6e871e0-3687-4cb5-9591-c1459911f433/ocsp-responder-error-in-pkiviewmsc?forum=winserversecurity


    Microsoft Certified Do Nothing Expert

    • Помечено в качестве ответа Nikolay Sh 3 июля 2014 г. 13:06
    3 июля 2014 г. 11:39
  • Дмитрий, спасибо большое за помощь!

    В оснастке Certification Authority в ветке Issued Certificates было 2 сертификата CAExchange. Я отозвал эти сертификаты и перезагрузил службу CA. В результате создался новый сертификат и pkiview показывает, что ссылка http://kvv-subca.bki.local/ocsp доступна.

    • Помечено в качестве ответа Nikolay Sh 3 июля 2014 г. 13:11
    3 июля 2014 г. 13:05