înregistrare Logare
Puncte:1
avatar Server

Windows: Cum pot diagnostica eșecul verificării revocării certificatului, când știu că răspunsul OK este trimis?

drapel in
Charlweed

TL;DR; Cum să descoperi ce este în neregulă cu răspunsul OCSP pe Windows?

Încerc să instalez un nou certificat în Exchange Server 2019 local. Dar Exchange raportează întotdeauna că noul certificat nu reușește verificarea revocării și nu îl va folosi. Noul certificat are un lanț de încredere de la noul certificat, printr-un CA intermediar până la rădăcina mea ca. Când deschid noul certificat în certmgr.msc, văd că acel lanț și toate certificatele sunt raportate ca OK în certmgr. Mi-am instalat CA rădăcină în magazinul âTrusted Root Certification Authoritiesâ. Am instalat CA intermediară în magazinul „Autorități intermediare de certificare”.

Noile certificate Acces la informații despre autoritate Adresa URL specifică propriul meu răspuns OCSP. Știu că aceasta nu este o problemă de conexiune sau de proxy, deoarece urmăresc jurnalele OCSP în timp real și știu că conexiunea s-a făcut, iar răspunsul meu OCSP trimite certificatul âOKâ. Am testat cu openssl-ocsp pe o gazdă linux și validarea a reușit când folosesc această comandă openssl:

   openssl ocsp 
      -emitent „$ca_sub_cert_file” 
      -cert „$exchangeCert” 
      -resp_text 
      -CAcale „$CA_ROOTS_HASHES_DIR” 
      -url „http://$hostNameFull:$ocsp_port/”

Vă rugăm să rețineți că comanda openssl de mai sus se referă în mod explicit la emitent, si CApath, iar asta permite încrederea în CA intermediară. Pe Windows, mă așteptam ca instalarea root-ca și a CA intermediară să permită în mod similar încrederea pentru răspunsul OCSP. Dar nu știu cum să testez asta.

Nu ar trebui să fie necesar, dar am „instalat” și un certificat pentru ocsp-responder. Am permis vrăjitorului să aleagă automat magazinul și nu găsesc unde a fost pus. Nu apare când îl caut în certmgr.msc. Nu l-am instalat manual, pentru că nu știu ce magazin ar trebui să folosesc.

Bănuiesc că răspunsul de la răspunsul meu openssl OCSP este greșit pentru Exchange Server 2019. Teoriile mele sunt:

  • Un lanț de încredere nu poate fi construit de la noul certificat la rădăcina mea CA
  • Lantul este construit, dar unul dintre certificatele pt ocsp-responder, intermediar-ca sau root-ca nu sunt de încredere. Chiar deși intermediate-ca și root-ca sunt instalate.
  • OpenSSL răspunsul este incompatibil cu Windows și sau Exchange Server 2019

Cum pot testa teoriile de mai sus? Am căutat în jurnalele de evenimente din Windows, dar nu conțin nicio mențiune despre OCSP sau revocare.

1217
1 + 1
drapel cn
Crypt32
Nu cred că OCSP este problema ta. Problema dvs. este cel mai probabil în CRL. Postați rezultatul următoarei comenzi: `certutil -verify -urlfetch exchcert.cer`.
0
Răspunde
Puncte:1
avatar Server
drapel br
garethTheRed

The certutil.exe are o opțiune relativ nouă, numită -descărcațiocsp pe care îl puteți folosi pentru a verifica răspunsurile OCSP.

  1. Într-un prompt de comandă, creați două foldere, numite certificate și rezultate.
  2. Plasați certificatele serverului dvs. Exchange în certificate pliant. Dacă utilizați OCSP pentru a verifica și certificatul CA, plasați o copie a certificatului CA în folderul respectiv.
  3. Alerga certutil -downloadocsp certs rezultate descărcare o dată. Aceasta va crea un .ocsp dosar în interiorul rezultate pentru fiecare răspuns.
  4. În cele din urmă, fugi certutil rezultate\????.ocsp pentru a vedea fiecare răspuns ca text simplu.

Cele de mai sus sunt din genialul lui Mark Cooper site-ul web.

0 + 3
drapel in
Charlweed
Multumesc de un milion de ori! Am încercat cele de mai sus: nu pe serverul meu de schimb, ci pe o stație de lucru Windows 10. Mă uit la certutil care face o conexiune cu răspunsul meu ocsp și descarcă ceva, dar raportează „Eroare => Descărcare răspuns OCSP în așteptare”. Nu este creat nimic în directorul de rezultate. Cel puțin acum am instrumentul cu care să lucrez și ceva documentație de citit.
0
Răspunde
drapel in
Charlweed
Nu primesc în mod constant nimic în rezultate și eroarea „Eroare => Descărcare răspuns OCSP în așteptare -- " ... ... ... Nu obțin nimic real din căutarea pe Google pentru certutil „Descărcare răspuns OCSP în așteptare”
0
Răspunde
drapel br
garethTheRed
Nu vă pot ajuta acolo, deoarece nu pot face eroare - funcționează pentru mine când îl rulez pe un certificat pe care l-am descărcat de pe Internet (GMail în acest caz).
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.