none
Сертификаты остаются действующими RRS feed

  • Вопрос

  • Привет! 
    Вопрос по certification authority
    Установил Exchange 2007, развернул enterprise CA (root и isuing). Вручил тестовым пользователям сертификаты, настроил Outlook'и 2007 на шифрование и подписывание. Судя по значкам, письма приходят подписанные и шифрованные (интересно, как шифрование проверить-то?).
    На issuing CA анулировал сертификаты. Опубликовал CRL. Но у пользователей на компах CRL не появляются (смотрю через Certificates), при переписке письма приходят нормально подписанными. То есть, сертификаты остаются действующими - в деталях подписи статус сертификатов ОК.
    Вопрос: как аннулировать сертификаты?
    22 сентября 2008 г. 7:49

Ответы

  • Необходимо предварительно настроить точки распространения списка отзыва сертификатов, затем проверить доступность этих точек для пользователей (к примеру, вручную открыть в браузере веб-сайт с CRL).
    Также можете попробовать вручную скачать CRL через веб-узел CA Web Enrollment.
    Необходимая информация приведена в этой статье:
    Отзыв сертификатов и публикация списков CRL
    16 октября 2008 г. 14:14

Все ответы

  • Необходимо предварительно настроить точки распространения списка отзыва сертификатов, затем проверить доступность этих точек для пользователей (к примеру, вручную открыть в браузере веб-сайт с CRL).
    Также можете попробовать вручную скачать CRL через веб-узел CA Web Enrollment.
    Необходимая информация приведена в этой статье:
    Отзыв сертификатов и публикация списков CRL
    16 октября 2008 г. 14:14
  • Спасибо за статью, вот из неё объяснение, почему сертификат остаётся действующим :

    Необходимо понимать, что клиенты, хранящие предыдущий список CRL в кэше, будут продолжать его использование до окончания срока действия даже в том случае, если был опубликован новый список. Публикация списка CRL не оказывает влияния на списки, хранящиеся в кэше, которые по-прежнему являются действительными. Новые списки необходимы только системам, у которых нет действительных локальных списков CRL.

    Теперь осталось найти, как обновить или заменить CRL в кэше.
    17 октября 2008 г. 9:21