По поводу проверки сертификатов клиентов на отзыв.
Описание стенда:
Win2003 SP2, все обновления от MS (в т.ч. IE7).
IIS поднят по умолчанию, есть страница с требованием сертификата клиента
Клиент - IE7 (с другого компьютера).
CRL на сервере нет, адреса точки распространения crl в сертификате клиента нет.
1а) На сервере CSP 3.0.3300.3 КС2 + КриптоПро Revocation Provider, связь с OCSP-сервером есть
Результат - с действительным сертификатом пускает, с отозванным - нет.
1б) то же, но связи с OCSP-сервером нет
Результат - пускает всегда.
Хотя в отладчике видно, что наш RP после неудачи связи с OCSP-сервером передаёт управление Microsoft RP (так и было задумано), а последний выдаёт ошибку 0x80092012 ("Функция отзыва не смогла произвести проверку отзыва для сертификата")
Но IIS это игнорирует.
2a) На сервере CSP 3.6.5009 КС2 (с включенным КриптоПро Revocation Provider), связь с OCSP-сервером есть
Результат - с действительным сертификатом пускает, с отозванным - нет.
2б) то же, но связи с OCSP-сервером нет
Результат - полностью аналогично 1б.
Выводы.
1. Поведение IIS в части реакции на сообщение MS RP о невозможности проверить статус сертификата не зависит от CSP.
2. Если статус сертиифката определён и этот статус "недействителен" - то независимо от CSP IIS не пускает такого клиента.
Дополнительная информация.
Если в сертификате клиента имеется cdp (точка распросранения crl), то поведение IIS меняется.
А именно:
если адрес, указанный в cdp недоступен и crl локально на сервере не установлен, то IIS не пускает по такому клиентскому сертификату.
Опять же, это поведение не зависит от версии CSP - проверил и на 3.0, и на 3.6 (тех же сборок, что указаны выше).
Отредактировано пользователем 26 сентября 2008 г. 17:04:33(UTC)
| Причина: Не указана