2

ラボの同じマシンに AD、AD CS、および OCSP をインストールして構成しました。次に、C# を使用して OCSP クライアントを作成し、ローカル マシンにインストールされている特定の証明書の失効確認要求を送信して応答を解析できるようにします。C# コードは、Bouncy Castle アセンブリ (http://www.bouncycastle.org/csharp/) を使用して構築されました。

問題は、証明書を発行して AD CS で失効させ、CRL と Delta CRL を公開した場合、AD CS で [失効データの更新] -> [OCSP] -> をクリックするまで、OCSP クライアントはこの証明書が有効であると表示することです。アレイ構成。

LDAP://XXXX を介して OCSP の失効構成のプロバイダーをローカル CRL に構成し、

また、5 分ごとに CRL を更新するように失効プロバイダーを指定しました。

OCSP を「リアルタイム」に設定する方法はありますか。つまり、証明書を取り消した後、OCSP クライアントは証明書が取り消されたことを認識します。または、[失効データの更新] を手動でクリックする代わりに、OCSP で CRL を自動的に取得できます。

4

2 に答える 2

3

OK、「リアルタイム」ではありませんが、可能な限りリアルタイムにする方法がようやくわかりました。OCSP サービスには独自のキャッシュがあり、証明書の失効ステータスは CRL の有効期限が切れるまでキャッシュされるようです。私のラボでは、CRL の有効期間は 2 日間でした。これは、証明書を取り消して CRL を公開し、OCSP を 5 分ごとに更新するように設定しても、元のステータスは 2 日後まで OCSP キャッシュにあることを意味します。しかし、[失効データの更新] をクリックすると、OCSP はすべてのキャッシュをクリアし、アプリケーション プールを再起動します。

解決策は、まず OCSP サービスで NONCE 拡張機能を有効にする必要があることです。そのため、OCSP リクエストを送信したときに、NONCE でランダムな情報を取得できます。また、OCSP サービスでは、要求に ONONCE 情報があることがわかった場合、キャッシュは使用されません。したがって、失効データは 5 分後に更新されます。

于 2012-04-17T02:49:40.290 に答える
0

「 Windows 2012 ADCS Online Responder 」で同じ問題に遭遇しました。「Web プロキシ キャッシュ エントリ」を0に設定し、「オンライン レスポンダー」サービスを再起動したところ、「リアルタイム」の動作になりました。

私のテスト中に、あなたが言及したのと同じ動作も検証しました。つまり、OCSP Web プロキシ キャッシュ内のエントリには、フィールドに指定された日付/時刻情報に基づいて、OCSP 関連のCRLの有効期間と同期された有効期間があります。CRL の " を公開します。

このキャッシュの有効期限について別のポリシーを定義するための情報が見つからないため、この点に関する質問を投稿しました: Windows ADCS オンライン レスポンダー - Web プロキシ キャッシュ エントリの有効期限の遅延を定義する

于 2014-04-14T09:35:24.600 に答える