| ||||
| ||||
| Подскажите что делать в такой ситуации: Был УЦ, который выдал около 700 сертификатов. Эти сертификаты нужны для доступа к некоему WEB серверу, работающему на IIS 6.0. Начиная с некоторго времени, стало невозможным забирать CRL с этого УЦ. Соответственно, когда клиент заходит на сервер после даты последнего выпуска CRL он получает ошибку 403.13. Скажите пожалуйста, как можно обойти проверку CRL этого УЦ, так как он просто больше не обновляется!!!! Выпускать 700 сертификатов не хочется. | ||||
| Ответы: | ||||
| ||||
| Странная ситуация - сервер должен уметь проверять сертификат клиента на отзыв. С другой стороны, клиент может захотеть аннулировать (отозвать) свой сертификат. С чисто технической точки зрения, возможные варианты: 1. Выпустить на старом УЦ crl на длительный срок, принести его в файле и установить на сервере IIS. Если старый УЦ не может выпустить crl, поднять MS CA на том же ключе и сертификате на другом сервере и там выпустить пустой crl. 2. Написать свой веб-сервер, который не будет проверять сертификаты клиентов. Можно взять за основу наш пример http://www.cryptopro.ru/cryptopro/products/csp/20/sample-2-0.zip файл WebServer.c | ||||
| ||||
| 1. Как на MS CertSrv выпустить CRL с большим сроком ? 2. Не хотелось бы :) | ||||
| ||||
| Консоль MS CA - Отозванные сертификаты - Свойства - там задаётся срок действия. Потом перезапуск MS CA, далее Консоль MS CA - Отозванные сертификаты - Все задачи - Публикация | ||||
| ||||
| Здорово! Выпустил на 6 лет :) У меня на УЦ два сертфиката УЦ висят. Для одного из них выпустился CRL со сроком 01.01.1601 Это нормально?? | ||||
| ||||
| Можете прислать оба crl в файлах? | ||||
| ||||
| Отправил на адрес | ||||
Андрей