Регистрация Войти
Рейтинг:1
avatar Server

Windows: как диагностировать сбой проверки отзыва сертификата, если я знаю, что ответ OK отправлен?

флаг in
Charlweed

TL;ДР; Как узнать, что не так с ответом OCSP в Windows?

Я пытаюсь установить новый сертификат на локальном сервере Exchange Server 2019. Но Exchange всегда сообщает, что новый сертификат не прошел проверку отзыва и не будет его использовать. Новый сертификат имеет цепочку доверия от нового сертификата через промежуточный ЦС к моему корневому ЦС. Когда я открываю новый сертификат в certmgr.msc, я вижу, что эта цепочка и все сертификаты отображаются в certmgr как OK. Я установил свой корневой ЦС в хранилище «Доверенные корневые центры сертификации». Я установил промежуточный центр сертификации в хранилище «Промежуточные центры сертификации».

Новые сертификаты Доступ к авторитетной информации URL-адрес указывает мой собственный ответчик OCSP. Я знаю, что это не проблема соединения или прокси-сервера, потому что я просматриваю журналы OCSP в режиме реального времени и знаю, что соединение установлено, и мой ответчик OCSP отправляет сертификат «ОК». Я протестировал openssl-ocsp на хосте Linux, и эта проверка прошла успешно, когда я использую эту команду openssl:

   ОСП OpenSSL 
      -эмитент "$ca_sub_cert_file" 
      -сертификат "$exchangeCert" 
      -resp_text 
      -CApath "$CA_ROOTS_HASHES_DIR" 
      -url "http://$hostNameFull:$ocsp_port/"

Обратите внимание, что приведенная выше команда openssl явно относится к эмитент, и CApath, и это позволяет доверять промежуточному ЦС. Я ожидал, что в Windows установка корневого ЦС и промежуточного ЦС аналогичным образом включит доверие к ответу OCSP. Но я не знаю, как это проверить.

В этом нет необходимости, но я также «установил» сертификат для ocsp-респондера. Разрешил визарду выбирать магазин автоматически, а куда его поставили найти не могу. Он не появляется, когда я ищу его в certmgr.msc. Я не устанавливал его вручную, потому что не знаю, какой магазин мне использовать.

Я подозреваю, что ответ моего ответчика openssl OCSP неверен для Exchange Server 2019. Мои теории таковы:

  • Цепочка доверия не может быть построена от нового сертификата до моего корня Калифорния
  • Цепочка выстроена, но один из сертификатов на ocsp-responder, промежуточный ca или root-ca не является доверенным. Даже хотя промежуточные-ca и root-ca установлены.
  • OpenSSL ответ несовместим с Windows и/или Exchange Server 2019

Как я могу проверить вышеупомянутые теории? Я просмотрел журналы событий Windows, но в них нет упоминаний об OCSP или отзыве.

1217
1 + 1
флаг cn
Crypt32
Я не думаю, что OCSP является вашей проблемой. Ваша проблема, скорее всего, в CRL. Опубликуйте вывод следующей команды: `certutil -verify -urlfetch exchcert.cer`.
0
Ответить
Рейтинг:1
avatar Server
флаг br
garethTheRed

certutil.exe имеет относительно новую опцию, называемую -downloadocsp который вы можете использовать для проверки ответов OCSP.

  1. В командной строке создайте две папки с именами сертификаты и Результаты.
  2. Поместите сертификаты сервера Exchange в сертификаты папка. Если вы также используете OCSP для проверки сертификата ЦС, поместите копию сертификата ЦС в эту папку.
  3. Бег certutil -downloadocsp загрузка результатов сертификатов один раз. Это создаст .ocsp файл внутри Результаты для каждого ответа.
  4. Наконец, запустите результаты certutil\????.ocsp для просмотра каждого ответа в виде открытого текста.

Вышеизложенное взято из блестящей книги Марка Купера. Веб-сайт.

0 + 3
флаг in
Charlweed
Бесконечно благодарен! Я пробовал вышеописанное: не на моем сервере обмена, а на рабочей станции Windows 10. Я смотрю, как certutil подключается к моему ответчику ocsp и что-то загружает, но сообщает «Ошибка => Ожидание загрузки ответа OCSP». В каталоге результатов ничего не создается. По крайней мере, теперь у меня есть инструмент для работы и документация для чтения.
0
Ответить
флаг in
Charlweed
Я постоянно ничего не получаю в результатах, и ошибка "Ошибка => Ожидание загрузки ответа OCSP -- " ... ... ... Я ничего не получаю от поиска в Google certutil "Ожидание загрузки ответа OCSP"
0
Ответить
флаг br
garethTheRed
Я не могу вам помочь, так как я не могу получить ошибку - у меня это работает, когда я запускаю его с сертификатом, который я скачал из Интернета (в данном случае GMail).
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.