Differences

This shows you the differences between two versions of the page.

--- обновление_crl_offline_root_ca [2023/10/13 13:18] – jp
+++ обновление_crl_offline_root_ca [2024/11/01 09:57] (current) – jp
@@ Line 5: / Line 5: @@
 //The revocation function was unable to check revocation because the revocation server was offline//
-При этом, точки публикации CRL (http, smb) могут быть вполне доступны.
+При этом, точки публикации CRL (http, smb) могут быть доступны.
-Скорее всего, проблема состоит в том, что подчиненный CA пытается найти списки отозванных сертификатов корневого центра, но, т.к. корневой ЦС находится в offline - он их не публикует.
+Скорее всего, проблема состоит в том, что подчиненный CA пытается найти списки отозванных сертификатов корневого центра, но, т.к. корневой ЦС находится в offline - он их не обновляет.
-В этом можно убедиться, найдя файл crl и посмотрев его next update. Пример:
+В этом можно убедиться, найдя файл crl, и посмотрев дату его next update. Пример:
+;#;
 {{::crl_expire.jpg?200|}}
+;#;
-Соответственно, нам необходимо включить корневой ЦС и выпустить CRL, а затем скопировать его в точку публикации списков отозванных сертификатов.
+Для решения проблемы - нам необходимо включить корневой ЦС и выпустить CRL, а затем скопировать его в точку публикации списков отозванных сертификатов.
 :!: //При недоступных списках отозванных сертификатов сервис CA может вообще не стартовать. Если необходимо заставить заработать ЦС срочно - можно временно сказать CA не проверять отозванные сертификаты. Это можно сделать командой://
@@ Line 20: / Line 23: @@
 **Исправление проблемы на корневом ЦС**
-Можно посмотреть срок жизни и интервал публикации CRL и поправить его в соответствии с потребностями. Этот срок определяет время, в течение которого нам необходимо включить корневой ЦС и выпустить его CRL, чтобы подчиненные центры не перестали работать.
+Можно посмотреть срок жизни и интервал публикации CRL и поправить его в соответствии с потребностями. Этот срок будет определять время, в течение которого нам необходимо будет включить корневой ЦС и выпустить его обновленный CRL, чтобы подчиненные центры не перестали работать.
 Для этого открываем оснатску //certificate authority// и заходим в свойства вкладки //revoked certificates//, где и выставляем периодичность публикации.
@@ Line 26: / Line 29: @@
 Пример для полугодичного интервала обновлений:
+;#;
 {{:crl_publish_interval.jpg?200}}
+;#;
 Теперь, после того, как нужный срок жизни выставлен - публикуем новый CRL. Для этого снова кликаем по //revoked certificates//, выбираем //all tasks// -> //publish//.
 Находим место публикации и файл crl, который изменился. Теперь нам необходимо скопировать его в точку публикации CRL, в которую смотрят издающие CA, заменив файл с истёкшим сроком.
+Найти место, в котором CA смотрит CRL можно на вкладке //extensions// в свойствах соответствующего ЦС, как на скриншоте ниже.
+;#;
+{{::crl_publish_locations.jpg?200|}}
+;#;
+:!: //Скорее всего, будет лучше остановить временно службу CA на издающем ЦС перед этим.//
+Если мы останавливали проверку crl на уровне ЦС - лучше вернуть её обратно.
+   certutil –setreg ca\CRLFlags -CRLF_REVCHECK_IGNORE_OFFLINE
+Теперь можно запустить службу ЦС и проверить выпуск сертификатов.
+{{tag>Certificates PKI Microsoft Windows}}