15.06.2007 18:21:58 | Как заставить IIS проверять сертификаты с учетом CRL | | Ответов: 6 |
|
Михаил | | |
|
Добрый день!
Ситуация такая: Поставил IIS с Вашим CSP TLS, все настроил, через IE попадаю по https на ресурс (с require client certificates). Но есть одно но, ни в сайтовом ни в клиентском сертификате нет CDP, на сервере CRL тоже неоткуда было взяться. Почему IIS пустил клиента на ресурс, не отбраковав его по CRL? Такое ощущение, что проверка по CRL вообще не делается. Проблема для меня весьма важная и горящая, очень надеюсь на Ваш ответ! с уваженим, Михаил |
|
Ответы:
|
18.06.2007 11:15:53 | Василий |
|
Должен проверять.
Можно уточнить - какая ОС, обновления (сервиспак, хотфиксы) на сервере?
А также - нет ли CDP в сертификате самого ЦС? |
|
18.06.2007 12:13:35 | Михаил |
|
ось XP, сервиспак 2, IIS 5.1, CSP 2.0. CDP в издателе клиентского сертификата присутствует, но я отозвал персональный сертификат, перевыпустил CRL для соответствующего издателя, перезапустил IIS, сдвинул дату на сервере (чтобы за старый CRL не вцепился, если он был вообще) и результат тот же, снова пролез на ресурс без проблем, а к CDP который в издателе конектов не было вообще. |
|
18.06.2007 12:23:08 | Василий |
|
Сервер (win 2000 или 2003 Server) проверяет сертификаты клиентов на отзыв. XP, по-видимому, не проверяет по умолчанию. Надо посмотреть в хелпе или на сайте microsoft. |
|
18.06.2007 16:23:01 | Василий |
|
Можно посмотреть тут:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/iissdk/html/b6221d80-186f-4f8d-add8-00295eb6e807.asp |
|
19.06.2007 12:21:16 | Михаил |
|
наконец-то нашел (к сожалению в IIS 5.1 метаданные бинарные, а не XML), пришлось найти VBScript, подправить немного, чтобы добраться до этого параметра CertCheckMode. Но к моему удивлению его значение 0. Судя по той ссылке, которую Вы мне указали (за что Вам спасибо) с таким значением сертификат должен проверяется с учетом CRL, однако этого не происходит. |
|
22.06.2007 15:07:27 | Смирнов Павел |
|
Попробуйте понастраивать ещё другие параметры, которые описаны в этих статьях:
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/60a90c91-a8d0-43b6-89db-a431d0ea0cb4.mspx?mfr=true
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/iisbook/c09_certificate_revocation_lists.mspx?mfr=true |
|