CRL 已过期,但 ChainStatus 告诉我 ReplicationStatusUnknown
问题描述 投票:0回答:1
我正在用这个进行链验证
var ca = new X509Certificate2(caBytes);
var intermediate = new X509Certificate2(intermediateBytes);
chain.ChainPolicy.TrustMode = X509ChainTrustMode.CustomRootTrust;
chain.ChainPolicy.CustomTrustStore.Add(ca);
chain.ChainPolicy.CustomTrustStore.Add(intermediate);
chain.ChainPolicy.RevocationMode = X509RevocationMode.Online;
var build = chain.Build(intermediate);
buildfalseOfflineRevocationRevocationStatusUnknown
当我检查中间体时,它的 CRL 指向我可以访问的有效 URL。当我收到此 CRL 时
这里没有什么问题,只是
Next datecertutil -verify -urlfetch Tesla_Intermediate_BAM_CRAS.crtIssuer:
CN=Tesla CA
OU=CA
O=Tesla Asics
C=CI
Name Hash(sha1): 444444444444444444444444
Name Hash(md5): 555555555555555555555555
Subject:
CN=Tesla Intermediate BAM CRAS
OU=IT
O=Tesla Asics
C=CI
Name Hash(sha1): 222222222222222222222222222
Name Hash(md5): 33333333333333333333333333
Cert Serial Number: 02
dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
ChainContext.dwRevocationFreshnessTime: 2158 Days, 54 Minutes, 33 Seconds
SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
SimpleChain.dwRevocationFreshnessTime: 2158 Days, 54 Minutes, 33 Seconds
CertContext[0][0]: dwInfoStatus=101 dwErrorStatus=1000040
Issuer: CN=Tesla CA, OU=CA, O=Tesla Asics, C=CI
NotBefore: 16/01/2018 13:57
NotAfter: 16/01/2028 13:57
Subject: CN=Tesla Intermediate BAM CRAS, OU=IT, O=Tesla Asics, C=CI
Serial: 02
Cert: 111111111111111111111
Element.dwInfoStatus = CERT_TRUST_HAS_EXACT_MATCH_ISSUER (0x1)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
---------------- Certificate AIA ----------------
No URLs "None" Time: 0 (null)
---------------- Certificate CDP ----------------
Expired "Base CRL (01)" Time: 0 666666666666666666
[0.0] http://crl.Tesla.ca/Tesla_CA_Root.crl
---------------- Base CRL CDP ----------------
No URLs "None" Time: 0 (null)
---------------- Certificate OCSP ----------------
No URLs "None" Time: 0 (null)
--------------------------------
CRL 01:
Issuer: CN=Tesla CA, OU=CA, O=Tesla Asics, C=CI
ThisUpdate: 22/01/2018 15:50
NextUpdate: 21/02/2018 15:50
CRL: 666666666666666666
CertContext[0][1]: dwInfoStatus=109 dwErrorStatus=0
Issuer: CN=Tesla CA, OU=CA, O=Tesla Asics, C=CI
NotBefore: 16/01/2018 13:55
NotAfter: 16/01/2038 13:55
Subject: CN=Tesla CA, OU=CA, O=Tesla Asics, C=CI
Serial: 01
Cert: 7777777777777777777
Element.dwInfoStatus = CERT_TRUST_HAS_EXACT_MATCH_ISSUER (0x1)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
---------------- Certificate AIA ----------------
No URLs "None" Time: 0 (null)
---------------- Certificate CDP ----------------
No URLs "None" Time: 0 (null)
---------------- Certificate OCSP ----------------
No URLs "None" Time: 0 (null)
--------------------------------
Exclude leaf cert:
Chain: 88888888888888888888888
Full chain:
Chain: 999999999999999999999999999
Issuer: CN=Tesla CA, OU=CA, O=Tesla Asics, C=CI
NotBefore: 16/01/2018 13:57
NotAfter: 16/01/2028 13:57
Subject: CN=Tesla Intermediate BAM CRAS, OU=IT, O=Tesla Asics, C=CI
Serial: 02
Cert: 111111111111111111111
Tilbagekaldsfunktionen kunne ikke kontrollere tilbagekaldelsen, fordi tilbagekaldsserveren var offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
------------------------------------
Revocation check skipped -- server offline
Cert is a CA certificate
ERROR: Verifying leaf certificate revocation status returned Tilbagekaldsfunktionen kunne ikke kontrollere tilbagekaldelsen, fordi tilbagekaldsserveren var offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
CertUtil: Tilbagekaldsfunktionen kunne ikke kontrollere tilbagekaldelsen, fordi tilbagekaldsserveren var offline.
CertUtil: -verify command completed successfully.
我不是
certutil Expired "Base CRL (01)" Time: 0 666666666666666666
[0.0] http://crl.Tesla.ca/Tesla_CA_Root.crl
还是有别的意思?
我希望
ChainStatusCtlNotTimeValid我听到的感觉是:
- CA 有一个可获取的 CRL 分发点,
- 为中间体分发过期的 CRL,并且
- 拥有离线的 CA
如果他们没有有效的未过期 CRL,我认为除了寻求
NoCheck这是专业的操作方式吗?我希望他们要么有更新的 CRL,要么根本没有。
问题:
和ChainStatus
是否意味着CRL已过期,因此我只能在执行certutil
和NoCheck时才能构建链
- CA 不更新其 CRL 的正确流程是吗?他们不应该根本就没有吗?
1个回答
0
投票
投票
CtlNotTimeValidCtlNotValidForUsageCRL 仅用于吊销检查,并且仅具有标志
OfflineRevocationRevocationStatusUnknown我建议您与 CA 联系,并向他们解释他们需要经常发布 CRL。 14 或 30 天更为常见。如果他们不这样做,那么他们就没有遵循 CA 的标准化做法,并且应该报告不合规情况。
如果您在内部运行自己的 CA,那么设置 CRL 分发周期通常非常简单。
最新问题
- OpenCV resize() 中的 INTER_LINEAR 插值如何工作?
- Tizen 6.5 WebRTC 与从电视发送视频的问题
- ModuleNotFoundError:在 VSCode 的 Conda 环境中运行 Python 文件时没有名为“torch”的模块
- 空哈希集 - 计数与任意
- “无法打开源文件”但编译没有问题
- Angular Reactive 表单:如何重置表单状态并在提交后保留值
- 因业务验证状态不完整而无法登录Facebook
- 响应中的重复标头“Transfer-Encoding”会导致客户端异常 - “java.io.IOException:块大小中的非法字符:123”
- 如何在文本小部件颤动中显示html字符串
- pandas df.loc[z,x]=y 如何提高速度?
- 如何在网站边缘向内创建渐变/淡入淡出效果,即特定的视图高度和宽度
- 运行 Evmos(基于 Cosmos-SDK)节点
- 无法找到“org.springframework.security.oauth2.client.registration.ClientRegistrationRepository”类型的Bean。 - 春季安全
- 使用 tkinter gui 进入网格小部件标识符
- 更改index.html后,GitHub页面需要多长时间更新?
- 如何从渲染片段 Blazor 中的静态上下文调用方法
- 使用 JWT 创建令牌时遇到问题
- Python 负载测试套接字通信
- “未定义”类型上不存在属性“句柄” - 反应上下文和打字稿
- 插件“Go”需要安装插件“com.intellij.modules.ultimate”
© www.soinside.com 2019 - 2024. All rights reserved.