none
Отзыв сертификата пользователя записанный на смарт-карту RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    Добрый вечер

    Установлен Центр Сертификации.
    запрашиваю, устанавливаю на смарт-карту, всё хорошо, авторизация работает.

    Представляем что смарт-карта утеряна, в центре сертификация я отзываю сертификат, логон продолжает работать, ессно нужно знать пин-код к смарт карте, но почему логон работает если сертификат уже находится в списке отозванных сертификатов??

    18 июня 2013 г. 15:07
    |

Ответы

  • Question
    Нужно войти
    0
    Нужно войти

    сколько времени прошло с момента отзыва? с какой периодичность deltacrl выкладывается?

    18 июня 2013 г. 16:04
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    Список отозванных сертификатов кэшируется на клиенте (в данном случае - на КД) в течение срока его действия. Поэтому клиет с гарантией обнаруживает отзыв только по обновлении списка по истечении срока его действия. Чтобы отзыв сертификатов всегда проверялся немедленно, следует использовать протокол OCSP (см., например http://technet.microsoft.com/ru-ru/library/cc770413(v=WS.10).aspx )

    Слава России!



    • Изменено M.V.V. _ 18 июня 2013 г. 16:06
    • Помечено в качестве ответа Константин 19 июня 2013 г. 6:41
    18 июня 2013 г. 16:05
    |

Все ответы

  • Question
    Нужно войти
    0
    Нужно войти

    сколько времени прошло с момента отзыва? с какой периодичность deltacrl выкладывается?

    18 июня 2013 г. 16:04
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    Список отозванных сертификатов кэшируется на клиенте (в данном случае - на КД) в течение срока его действия. Поэтому клиет с гарантией обнаруживает отзыв только по обновлении списка по истечении срока его действия. Чтобы отзыв сертификатов всегда проверялся немедленно, следует использовать протокол OCSP (см., например http://technet.microsoft.com/ru-ru/library/cc770413(v=WS.10).aspx )

    Слава России!



    • Изменено M.V.V. _ 18 июня 2013 г. 16:06
    • Помечено в качестве ответа Константин 19 июня 2013 г. 6:41
    18 июня 2013 г. 16:05
    |
  • Question
    Нужно войти
    0
    Нужно войти

    правда OCSP работает только на новых клиентах

    18 июня 2013 г. 16:16
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    Чтобы отвергнуть отозванный сертификат, достаточно, чтобы к OCSP-ответчику обратился KDC (т.е. КД). А КД у спрашивающего, судя по месту размещения вопроса на этом форуме, работают под Win2K8, т.е. OCSP они поддерживают.

    Слава России!

    18 июня 2013 г. 21:53
    |
  • Question
    Нужно войти
    0
    Нужно войти

    большое спасибо за помощь!

    к своему стыду не знал про параметр deltacrl, меня вполне устраивает блокировка раз в сутки.
    но буду разбираться с     OCSP

    19 июня 2013 г. 6:43
    |