| ||||
| ||||
| Есть IIS, настроенный на получение сертификатов пользователей. В ЦС отозвал сертификат пользователя и опубликовал. На IIS через IE захожу на ЦС и выбираю "Загрузка последнего базового CRL". Куда установить этот CRL? Пользователь с отозванным сертификатом спокойно заходит на на Веб-Приложение. Как правильно все настроить? | ||||
| Ответы: | ||||
| ||||
| IIS устроен так, что при проверке статуса сертификата: 1. сначала смотрит в действительный локальный CRL, размещенный в хранилище сертификатов локального компьютера 2. Если там действительного CRL не находит, то смотрит в файловый кэш (обычно это кэш IE) 3. Если там не находит то лезет на CRL по URL указанному в расширении CDP сертификата клиента Т.о. если Вы отозвали сертификат клиента, то IIS о нем узнает к тому времени, когда подойдет время публикации нового CRL (когда станет не действительным текущий CRL). Если Вы отозвали сертификат клиента и изготовили новый, внеплановый CRL на ЦС, то берите этот CRL в файл, приносите на комп с IIS, удаляйте руками предыдущий CRL их хранилища и из кэша, устанавливайте новый CRL в хранилище и сделайте рестарт службы IIS. Только так IIS сможет узнать о внеплановом CRL. Подробно об этом расписано в разделе "9.Использование и управление списком отозванных сертификатов на Центре Регистрации" документа "КриптоПро УЦ. Центр Регистрации. Руководство по эксплуатации" из состава эксплуатационной документации на ПАК "КриптоПро УЦ". Скачать документацию можно тут http://www.cryptopro.ru/cryptopro/products/cc/default.htm | ||||
Василий О