問題タブ [certificate-revocation]

プロジェクト固有の認証局 (CA) を実装しています。CAの証明書を更新するようなケースに遭遇しました。

問題は、非常に大きなシステムがあり、証明書を複数のコンポーネントに提供していることです (何千ものエンティティに証明書を発行しています)。そのため、更新時に古い証明書を直接取り消すと、セキュリティ上の問題が発生します。このために、次のようなプロセスに従っています。新しい証明書を CA に追加するだけで、CA によって発行されたすべてのエンティティ証明書の証明書を更新します。

このプロセスは正常に機能していますが、CRL の発行時に小さな問題が発生しました (CRL は CA の証明書によって署名されているため)。

CA の古い証明書で署名した場合、既に更新されたエンティティはセキュリティの問題に直面しています。CA の新しい証明書で署名した場合、古い証明書を持つエンティティはセキュリティの問題に直面しています。

私のシステムの CA の更新プロセスには時間がかかります。この場合、更新された CA に 2 つの CRL を公開することを提案しています。

しかし、同じ CA に対して 2 つの CRL を公開できるかどうかはわかりません。

上記の発言についてコメントをお願いします。

Bouncy Castle を使用して独自のルート CA 証明書を作成し、それを使用して他の証明書を作成しています。Bouncy Castle C# を使用して、取り消された証明書のリストを含む証明書失効リスト (CRL) を作成したいと考えています。例：

この時点まではすべて問題ありません。X509Crl オブジェクトを .crl ファイルに保存するにはどうすればよいですか?

よろしくお願いします。

現在、IIS が原因であると思われる問題に取り組んでいます。

私は現在、ルート CA (MyNewCA)、2 つの署名済みクライアント証明書 (certificate1、certificate2)、および同じく CA によって署名された失効リスト (revocationlist.crl) を使用して、自己署名 PKI セットアップをテストしています。

certificate1 を失効リストに追加し、ネットワーク上に存在する http ポート 80 のサイトに公開しました。次に、TLS 証明書で保護された偽のサイト (テストサイト) を作成しました。

クライアント マシンから、certificate1 と certificate2 の両方で CertUtil コマンドを実行しました。これらのコマンドは、http crl サイトに正しくアクセスし、certificate1 が取り消されていること、および certificate2 が取り消されていない正当な証明書であることを認識します。

しかし、クライアント ブラウザー経由でテストサイトに接続し、無効な証明書を提供すると、IIS は 403.13 エラーを表示する代わりにページを表示します。

私はたくさんの読書をしましたが、CRLキャッシングの問題があるようですが、私が公開した最初の失効リストには証明書1のシリアル番号が含まれていたため、キャッシュされたバージョンにもその失効した証明書が含まれます.

IIS サーバーの RegEdit の CertCheckMode を値 4 に変更して、IIS がすべての要求で最新の crl を取得するように強制しましたが、その設定でも失効した証明書をクライアントに提供できます。

CRL 自体には次のものがあります。発効日 2016 年 1 月 19 日 次回更新日 2017 年 1 月 20 日

役立つ場合は certutil の出力、または問題の特定に役立つその他のログ データを提供できます。

クライアント マシンで Fiddler を実行し、crl が Http サイトから取得されたことを確認しました。

誰かがこの問題について何か洞察を提供できるなら、私はそれを大いに感謝します.

ありがとう、

証明書の失効を確認しようとしています。私は CAcert 証明書を持っています。crlClient と OCSP が証明書の失効チェックを完了するには、約 1 時間かかります。

現在、SSL を使用してネットワーク TCP サーバーを作成しています。本番環境では、最終的にクライアントに証明書による認証を要求します。

緊急時に証明書を失効させるために、CRL も確立したいと考えています。

私の質問は次のとおりです。Java は CRL (証明書が提供されている場合) をすぐにチェックしますか、それともそのようなチェックを手動で実装する必要がありますか?

テストのために、CRL を設定した証明書を用意しましたが、Java はそれを検証しようとしないようです (証明書をローカル Web サーバーにドロップしましたが、アクセスできません)。

com.sun.net.ssl.checkRevocation=true VM オプションしか見つかりませんでしたが、CRL を照会していないようです。VM デバッグをjava.security.debug=certpathに設定しても、出力は生成されません...

Java のサブシステムには関連するクラスがあるようですが (例: java.security.cert.X509CRLSelector )、明らかに機能していません。

edit : 古い D​​ropbox リンクを削除しました

CRL (証明書失効リスト) の有効期限を監視するプログラムを書きたいと思います。したがって、CRL ファイルから次のプロパティを読み取りたいと思います: 1) 発効日 2) 次回の更新 3) 次回の CRL 公開

どうすればタスクを達成できますか? X509Certificate2、X509Chain、x509RevocationModeなどのタイプしか見つけることができませんでした..