内部 Windows Server 2012 エンタープライズ ルート CA といくつかの CDP があります。Windows Server 2012 で実行されている .NET クライアント アプリケーションが、プロセスの一部として使用する CRL および Delta CRL ファイルの有効期限が切れているため、証明書チェーンを構築するときに失敗しないようにしようとしています。
これまでのところ、可能な解決策は、重複する CRL を発行することであり、Base CRL の公開を妨げている障害がそれらに応じてアプリを強制終了するまでの時間を延長することです (どのように正確にそれが行われるかについての詳細な/非理論的な説明をまだ探しています)。完了しました。例があれば教えてください)
もう 1 つの可能な解決策 (または重複する CA との組み合わせ) は、CRL 発行間隔を長くし (たとえば 2 週間)、Delta CRL 間隔を短くする (たとえば 1 時間) ことです。ここでの質問は、次のようなシナリオで何が起こるかです:
- クライアントが Base CRL と Delta CRL をキャッシュしました
- 何らかの理由で、Delta CRL を CDP に公開できない場合があります。たとえば、6 時間 - Delta CRL の有効期限を過ぎていますが、(ほとんどの場合) Base CRL の有効期限が切れる前です。
1 時間ほど後 (Delta CRL が 1 時間ごとに発行される場合)、最後に正常に発行された Delta CRL は期限切れになるため、(しばらくの間) 有効なものは Base CRL だけになります。Base CRL をキャッシュしたので、クライアントは処理を続行しますか? それとも失敗しますか?私が見つけた最も近い説明は、この古い記事からのものです。「有効なベース CRL が存在し、利用可能であるが、利用できるデルタまたは時間有効なデルタがない場合、証明書チェーン エンジンは利用可能なデルタ CRL がないという警告を返します」。クライアントは例外をスローせずに処理を続行する必要があるようですが、それは理にかなっていますが、これは非常に古い記事であり、より最新のものを使用する方が快適だと思います... :)
要するに、上記の記事は最新のシステムにも当てはまりますか? また、Windows Server 2012 Enterprise CA で重複する CRL 公開を設定する方法に関する詳細情報がある場合は、共有してください... :)
ありがとう!