none
Отзыв сертификата пользователя записанный на смарт-карту RRS feed

  • Вопрос

  • Добрый вечер

    Установлен Центр Сертификации.
    запрашиваю, устанавливаю на смарт-карту, всё хорошо, авторизация работает.

    Представляем что смарт-карта утеряна, в центре сертификация я отзываю сертификат, логон продолжает работать, ессно нужно знать пин-код к смарт карте, но почему логон работает если сертификат уже находится в списке отозванных сертификатов??

    18 июня 2013 г. 15:07

Ответы

  • сколько времени прошло с момента отзыва? с какой периодичность deltacrl выкладывается?

    18 июня 2013 г. 16:04
    Модератор
  • Список отозванных сертификатов кэшируется на клиенте (в данном случае - на КД) в течение срока его действия. Поэтому клиет с гарантией обнаруживает отзыв только по обновлении списка по истечении срока его действия. Чтобы отзыв сертификатов всегда проверялся немедленно, следует использовать протокол OCSP (см., например http://technet.microsoft.com/ru-ru/library/cc770413(v=WS.10).aspx )


    Слава России!



    • Изменено M.V.V. _ 18 июня 2013 г. 16:06
    • Помечено в качестве ответа Константин 19 июня 2013 г. 6:41
    18 июня 2013 г. 16:05

Все ответы

  • сколько времени прошло с момента отзыва? с какой периодичность deltacrl выкладывается?

    18 июня 2013 г. 16:04
    Модератор
  • Список отозванных сертификатов кэшируется на клиенте (в данном случае - на КД) в течение срока его действия. Поэтому клиет с гарантией обнаруживает отзыв только по обновлении списка по истечении срока его действия. Чтобы отзыв сертификатов всегда проверялся немедленно, следует использовать протокол OCSP (см., например http://technet.microsoft.com/ru-ru/library/cc770413(v=WS.10).aspx )


    Слава России!



    • Изменено M.V.V. _ 18 июня 2013 г. 16:06
    • Помечено в качестве ответа Константин 19 июня 2013 г. 6:41
    18 июня 2013 г. 16:05
  • правда OCSP работает только на новых клиентах

    18 июня 2013 г. 16:16
    Модератор
  • Чтобы отвергнуть отозванный сертификат, достаточно, чтобы к OCSP-ответчику обратился KDC (т.е. КД). А КД у спрашивающего, судя по месту размещения вопроса на этом форуме, работают под Win2K8, т.е. OCSP они поддерживают.


    Слава России!

    18 июня 2013 г. 21:53
  • большое спасибо за помощь!

    к своему стыду не знал про параметр deltacrl, меня вполне устраивает блокировка раз в сутки.
    но буду разбираться с 
    OCSP

    19 июня 2013 г. 6:43