Differences

This shows you the differences between two versions of the page.

View differences: Side by SideInline Go

Link to this comparison view

Both sides previous revisionPrevious revision 2024/11/01 09:57 jp 2023/10/13 13:34 jp 2023/10/13 13:33 jp 2023/10/13 13:29 jp 2023/10/13 13:28 jp 2023/10/13 13:27 jp 2023/10/13 13:27 jp 2023/10/13 13:26 jp 2023/10/13 13:25 jp 2023/10/13 13:25 jp 2023/10/13 13:19 jp 2023/10/13 13:18 jp 2023/10/13 13:18 jp 2023/10/13 13:16 jp 2023/10/13 13:16 jp 2023/10/13 13:15 jp 2023/10/13 12:58 jp 2023/10/13 12:57 jp 2023/10/13 12:54 jp 2023/10/13 12:54 jp 2023/10/13 12:48 jp 2023/10/13 12:48 jp 2023/10/13 12:43 jp 2023/10/13 12:43 jp 2023/10/13 12:42 jp 2023/10/13 12:42 jp 2023/10/13 12:40 jp 2023/10/13 12:38 jp 2023/10/13 12:37 jp 2023/10/13 12:37 jp 2023/10/13 12:35 jp 2023/10/13 12:34 jp 2023/10/13 12:32 jp 2023/10/13 12:30 jp 2023/10/13 12:29 jp 2023/10/13 12:27 jp 2023/10/13 12:26 jp 2023/10/13 12:22 jp createdGo Next revision		Previous revision 2024/11/01 09:57 jp 2023/10/13 13:34 jp 2023/10/13 13:33 jp 2023/10/13 13:29 jp 2023/10/13 13:28 jp 2023/10/13 13:27 jp 2023/10/13 13:27 jp 2023/10/13 13:26 jp 2023/10/13 13:25 jp 2023/10/13 13:25 jp 2023/10/13 13:19 jp 2023/10/13 13:18 jp 2023/10/13 13:18 jp 2023/10/13 13:16 jp 2023/10/13 13:16 jp 2023/10/13 13:15 jp 2023/10/13 12:58 jp 2023/10/13 12:57 jp 2023/10/13 12:54 jp 2023/10/13 12:54 jp 2023/10/13 12:48 jp 2023/10/13 12:48 jp 2023/10/13 12:43 jp 2023/10/13 12:43 jp 2023/10/13 12:42 jp 2023/10/13 12:42 jp 2023/10/13 12:40 jp 2023/10/13 12:38 jp 2023/10/13 12:37 jp 2023/10/13 12:37 jp 2023/10/13 12:35 jp 2023/10/13 12:34 jp 2023/10/13 12:32 jp 2023/10/13 12:30 jp 2023/10/13 12:29 jp 2023/10/13 12:27 jp 2023/10/13 12:26 jp 2023/10/13 12:22 jp createdGo
обновление_crl_offline_root_ca [2023/10/13 12:54] – jp		обновление_crl_offline_root_ca [2024/11/01 09:57] (current) – jp
Line 5:		Line 5:
	//The revocation function was unable to check revocation because the revocation server was offline//		//The revocation function was unable to check revocation because the revocation server was offline//
-	При этом, точки публикации CRL (http, smb) могут быть вполне доступны.	+	При этом, точки публикации CRL (http, smb) могут быть доступны.
-	Скорее всего, проблема состоит в том, что подчиненный CA пытается найти списки отозванных сертификатов корневого центра, но, т.к. корневой ЦС находится в offline - он их не публикует. Соответственно, нам необходимо включить корневой ЦС и выпустить CRL, а затем скопировать его в точку публикации списков отозванных сертификатов.	+	Скорее всего, проблема состоит в том, что подчиненный CA пытается найти списки отозванных сертификатов корневого центра, но, т.к. корневой ЦС находится в offline - он их не обновляет.
		+
		+	В этом можно убедиться, найдя файл crl, и посмотрев дату его next update. Пример:
		+
		+	;#;
		+	{{::crl_expire.jpg?200|}}
		+	;#;
		+
		+
		+	Для решения проблемы - нам необходимо включить корневой ЦС и выпустить CRL, а затем скопировать его в точку публикации списков отозванных сертификатов.
	:!: //При недоступных списках отозванных сертификатов сервис CA может вообще не стартовать. Если необходимо заставить заработать ЦС срочно - можно временно сказать CA не проверять отозванные сертификаты. Это можно сделать командой://		:!: //При недоступных списках отозванных сертификатов сервис CA может вообще не стартовать. Если необходимо заставить заработать ЦС срочно - можно временно сказать CA не проверять отозванные сертификаты. Это можно сделать командой://
Line 14:		Line 23:
	**Исправление проблемы на корневом ЦС**		**Исправление проблемы на корневом ЦС**
-	Во-первых - можно посмотреть срок жизни и интервал публикации CRL и поправить его в соответствии с потребностями. Этот срок определяет время, в течение которого нам необходимо включить корневой ЦС и выпустить его CRL, чтобы подчиненные центры не перестали работать.	+	Можно посмотреть срок жизни и интервал публикации CRL и поправить его в соответствии с потребностями. Этот срок будет определять время, в течение которого нам необходимо будет включить корневой ЦС и выпустить его обновленный CRL, чтобы подчиненные центры не перестали работать.
	Для этого открываем оснатску //certificate authority// и заходим в свойства вкладки //revoked certificates//, где и выставляем периодичность публикации.		Для этого открываем оснатску //certificate authority// и заходим в свойства вкладки //revoked certificates//, где и выставляем периодичность публикации.
Line 20:		Line 29:
	Пример для полугодичного интервала обновлений:		Пример для полугодичного интервала обновлений:
		+	;#;
	{{:crl_publish_interval.jpg?200}}		{{:crl_publish_interval.jpg?200}}
		+	;#;
		+
		+
		+	Теперь, после того, как нужный срок жизни выставлен - публикуем новый CRL. Для этого снова кликаем по //revoked certificates//, выбираем //all tasks// -> //publish//.
		+
		+	Находим место публикации и файл crl, который изменился. Теперь нам необходимо скопировать его в точку публикации CRL, в которую смотрят издающие CA, заменив файл с истёкшим сроком.
		+
		+	Найти место, в котором CA смотрит CRL можно на вкладке //extensions// в свойствах соответствующего ЦС, как на скриншоте ниже.
		+
		+	;#;
		+	{{::crl_publish_locations.jpg?200|}}
		+	;#;
		+
		+
		+	:!: //Скорее всего, будет лучше остановить временно службу CA на издающем ЦС перед этим.//
		+
		+	Если мы останавливали проверку crl на уровне ЦС - лучше вернуть её обратно.
		+
		+	certutil –setreg ca\CRLFlags -CRLF_REVCHECK_IGNORE_OFFLINE
		+	Теперь можно запустить службу ЦС и проверить выпуск сертификатов.
		+
		+	{{tag>Certificates PKI Microsoft Windows}}