問題タブ [certificate-revocation]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
openssl - CRL ファイルの信頼性を検証した CA 証明書を見つける
たとえば、特定の CRL を指定すると、次のようになります。
http://crl.verisign.com/pca1.crl
それをダウンロードし、それopensslを確認してその内容を表示するように求めることは、魅力のように機能します。
この CRL の信頼性を検証したCA 証明書を確認する方法はありますか?
または、証明書ストア内の証明書をループして、一致するまで 1 つずつ試す唯一の方法はありますか?
.net - X509Certificate2.Verify() メソッド、失効リストとそのパフォーマンスへの影響に対する検証
X509 証明書を検証したい。そして、 X509Certificate2.Verify()メソッドに行くと思いました。
ただし、ドキュメントは、検証するすべてのことについて何も伝えていません。
- このメソッドの詳細を提供するドキュメントを教えてください。
- Verify() メソッドは失効リストに対して証明書を検証しますか? はいの場合、オンライン リストが利用できない場合、またはネットワークが利用できない場合はどうなりますか?
- 失効リストに対して証明書を検証する場合、パフォーマンスへの影響はありますか?
active-directory - ADCS オンライン レスポンダー (OCSP) はリアルタイムではありません
ラボの同じマシンに AD、AD CS、および OCSP をインストールして構成しました。次に、C# を使用して OCSP クライアントを作成し、ローカル マシンにインストールされている特定の証明書の失効確認要求を送信して応答を解析できるようにします。C# コードは、Bouncy Castle アセンブリ (http://www.bouncycastle.org/csharp/) を使用して構築されました。
問題は、証明書を発行して AD CS で失効させ、CRL と Delta CRL を公開した場合、AD CS で [失効データの更新] -> [OCSP] -> をクリックするまで、OCSP クライアントはこの証明書が有効であると表示することです。アレイ構成。
LDAP://XXXX を介して OCSP の失効構成のプロバイダーをローカル CRL に構成し、
また、5 分ごとに CRL を更新するように失効プロバイダーを指定しました。
OCSP を「リアルタイム」に設定する方法はありますか。つまり、証明書を取り消した後、OCSP クライアントは証明書が取り消されたことを認識します。または、[失効データの更新] を手動でクリックする代わりに、OCSP で CRL を自動的に取得できます。
security - 証明書チェーン全体に対する OCSP 失効チェック
OCSP サーバーに証明書の失効ステータスを確認するように要求すると、チェーン全体の失効ステータスが自動的に確認されますか?
つまり、証明書が「良好」であると表示されている場合、それはチェーン全体が良好であることを意味しますか?
仕様を読みました: http://www.ietf.org/rfc/rfc2560.txt
しかし、それはまだ私には不明なようです。
ウィキペディアでは、チェーンされた OCSP リクエストについて言及しています。
http://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol
openssl - CRL配布ポイントを含むopensslを使用して証明書を作成するにはどうすればよいですか?
opensslを使用して、テスト用のcrl配布ポイントを含むx509証明書を作成する際に問題が発生します。
ドキュメントを確認したところ、この目的のための構成設定crlDistributionPointsが見つかりました。残念ながら、opensslは、crl配布ポイントを使用したバージョン3証明書ではなく、常にx509バージョン1証明書を生成します。コマンドまたは構成に問題があることは確かですが、ドキュメントを注意深く読み、構成をいじってみても役に立ちませんでした。構成ファイルの他の設定が考慮されるため、ファイル自体がopensslによって使用されていると確信しています。
コマンドを使用しています
次の構成ファイルを使用しています。
何か案は?
.net - .NET が特定のアセンブリのコード署名証明書の失効ステータスをチェックしないようにする
特定のアセンブリのそれぞれの証明機関によるコード署名証明書の失効ステータスをオンラインでチェックしないように、.NET ランタイムに指示する方法を探しています。これらのアセンブリは、セキュリティが制限された内部ネットワークの IIS の下にある SharePoint 2010 Web サイト内で実行されます。このネットワークはインターネットにアクセスできないため、CA にクエリを実行できません。
このコードを完全に信頼するように CAS ポリシーを設定してみました。
この設定は、カスタマイズされたwss_minimaltrust.configファイルの一部として展開されました。ただし、これは CRL チェックのメカニズムには影響しません。
これを回避する正しい方法はmachine.config?
java - 無効な DER エンコードの CRL データ java
x509 証明書が失効しているかどうかを確認しようとしています:
そして、この例外を取得します:
そのcrlファイルをDERでエンコードされたcrlファイルに変換するにはどうすればよいですか? ありがとう!
systemtime - sys 時刻が正確でない場合、winVerifyTrust がクラッシュする
C# .net 3.5 アプリケーションを開発しています。WinVerifyTrust を使用してファイルの署名を検証しようとしています。失効チェックも必要なので、WinTrustData の次のパラメーターを設定します。
システム時間を進めた場合を除いて、すべて正常に動作し、その後メソッドがスタックし、winVerifyTrust が応答を返すのは非常に長い時間が経過した後です。
なぜそれが起こっているのか、どうすればそれを防ぐことができるのか分かりますか?
ありがとう