問題タブ [certificate-revocation]

失効のためにサーバー側でクライアント証明書認証 (SSL) を実行するために、Tomcat コネクタにプロパティ crlFile を追加できます。ただし、このプロセスは静的であるため、その場所の crlFile が更新された場合、Tomcat は古い CRL ファイルにまだバインドされている新しい CRL を選択しません。CRL ファイルの新しい変更を反映するには、Tomcat を再起動する必要があります。

ここで 2 つの質問があります。

1）上記のプロセスを動的にする方法（そのパスのCRLファイルが更新された場合、再起動せずに変更を選択します）？

2) 更新された CRL ファイルを CA からタイムリーに取得する方法と、Tomcat で CDP (CRL 配布ポイント) を構成する場所。CA が CRL ファイルを更新する場合、ファイル (有効期限がある) をローカル マシン (サーバー) にダウンロードします。

失効リスト (crl ファイル) を使用して証明書を確認しようとしています。BouncyCustle ライブラリには、x509Crl.IsRevoked()これに使用するメソッドがあります。パラメータとしてオブジェクトを取得するのがポイントなのですが、x509Certificateこのオブジェクトの作り方がわかりませんx509Certificate。オブジェクトからオブジェクトへDotNetUtilities.FromX509Certificate()の変換に使用しましたが、テストしたすべてのcrlについて、メソッドが常に返されるという問題に直面しました。System.Security.Cryptography.X509Certificates.x509Certificate2Org.BouncyCastle.X509.X509CertificateIsRevoked()true

質問:Org.BouncyCastle.X509.X509Certificateから変換せずにバイナリから直接オブジェクトを作成する方法はSystem.Security.Cryptography.X509Certificates.x509Certificate2?

そのcrlファイルで証明書をチェックするための私のコード:

Windows LDAP クライアント DLL (wldap32.dll) を使用してリモート LDAP サーバーに接続しています。接続は TLS (ポート 636 上の LDAPS プロトコル) 経由で行われます。

私の問題は、CRL 取り消しを有効にすることです。以下を使用して、LDAP セッションの schannel オプションを設定できることがわかりました。

ldap_set_option(LDAP_OPT_SCH_FLAGS, &uLong);

そのため、上記の呼び出しに SCH_CRED_REVOCATION_CHECK_CHAIN オプションを渡そうとしました (もちろん ldap_bind_s の前に) が、wireshark トラフィックを検査した後、クライアントがサーバーから OCSP ステータスを要求していることがわかり、それが失敗したようです ( OCSP ステータスが返されないため、TLS ハンドシェイクは中止されます) ただし、サーバー証明書には CDP が含まれており、クライアントがそれを使用して、OCSP 経由ではなく、指定された CRL 経由で失効チェックを実行するようにします。

それはschannelの単なる制限ですか、それとも何か間違っていますか?

ありがとう

アミット