Điểm:1

Server

Windows: Làm cách nào tôi có thể chẩn đoán lỗi kiểm tra thu hồi chứng chỉ khi tôi biết phản hồi OK đã được gửi?

Charlweed

20:15, 02/11/2022

TL;DR; Làm cách nào để khám phá điều gì sai với phản hồi OCSP trên Windows?

Tôi đang cố gắng cài đặt chứng chỉ mới trong Exchange Server 2019 tại chỗ. Nhưng Exchange luôn báo cáo rằng chứng chỉ mới không vượt qua kiểm tra thu hồi và sẽ không sử dụng chứng chỉ đó. Chứng chỉ mới có một chuỗi tin cậy từ chứng chỉ mới, thông qua CA trung gian đến ca gốc của tôi. Khi tôi mở chứng chỉ mới trong certmgr.msc, tôi thấy chuỗi đó và tất cả các chứng chỉ đều được báo cáo là OK trong certmgr. Tôi đã cài đặt CA gốc của mình vào cửa hàng Ủy viên chứng nhận gốc đáng tin cậy. Tôi đã cài đặt CA trung gian vào cửa hàng Cơ quan cấp chứng chỉ trung gian.

Chứng chỉ mới Quyền truy cập thông tin cơ quan URL chỉ định trình phản hồi OCSP của riêng tôi. Tôi biết đây không phải là vấn đề về kết nối hay proxy, vì tôi xem nhật ký OCSP theo thời gian thực và tôi biết kết nối đã được thực hiện, đồng thời bộ phản hồi OCSP của tôi gửi chứng nhận âOKâ. Tôi đã thử nghiệm với openssl-ocsp trên máy chủ linux và việc xác thực đó đã thành công khi tôi sử dụng lệnh openssl này:

   openssl ocsp 
      -nhà phát hành "$ca_sub_cert_file" 
      -chứng chỉ "$exchangeCert" 
      -resp_text 
      -CApath "$CA_ROOTS_HASHES_DIR" 
      -url "http://$hostNameFull:$ocsp_port/"

Xin lưu ý rằng lệnh openssl ở trên đề cập rõ ràng đến người phát hành, và capathvà điều đó cho phép tin tưởng vào CA trung gian. Trên Windows, tôi kỳ vọng rằng việc cài đặt root-ca và CA trung gian sẽ tương tự như vậy sẽ tạo ra độ tin cậy cho phản hồi OCSP. Nhưng tôi không biết làm thế nào để kiểm tra điều này.

Điều đó không cần thiết, nhưng tôi cũng đã “cài đặt” chứng chỉ cho ocsp-Responser. Tôi đã cho phép trình hướng dẫn tự động chọn cửa hàng và tôi không thể tìm thấy nó được đặt ở đâu. Nó không xuất hiện khi tôi tìm kiếm nó trong certmgr.msc. Tôi chưa cài đặt thủ công, vì tôi không biết nên sử dụng cửa hàng nào.

Tôi nghi ngờ rằng phản hồi từ trình phản hồi OCSP openssl của tôi là sai đối với Exchange Server 2019. Lý thuyết của tôi là:

Không thể xây dựng chuỗi tin cậy từ chứng chỉ mới đến thư mục gốc của tôi CA
Chuỗi được xây dựng, nhưng một trong những chứng chỉ cho ocsp-reply, trung gian-ca hoặc root-ca không đáng tin cậy. Thậm chí mặc dù đã cài đặt trung gian-ca và root-ca.
OpenSSL phản hồi không tương thích với Windows và Exchange Server 2019

Làm thế nào tôi có thể kiểm tra các lý thuyết trên? Tôi đã tìm kiếm nhật ký sự kiện của windows nhưng chúng không chứa bất kỳ đề cập nào về OCSP hoặc thu hồi.

1217

1 + 1

bộ nhớ đệm

chứng chỉ ssl

ocsp

máy chủ trao đổi

Crypt32

06:21, 05/11/2022

Tôi không nghĩ rằng OCSP là vấn đề của bạn. Vấn đề của bạn rất có thể là trong CRL. Đăng đầu ra của lệnh sau: `certutil -verify -urlfetch exchcert.cer`.

Hồi đáp

Điểm:1

Server

garethTheRed

06:47, 03/11/2022

Các certutil.exe có một tùy chọn tương đối mới, được gọi là -downloadocsp mà bạn có thể sử dụng để xác minh các phản hồi OCSP.

Trong dấu nhắc lệnh, hãy tạo hai thư mục, được gọi là chứng chỉ và kết quả.
Đặt chứng chỉ máy chủ Exchange của bạn trong chứng chỉ thư mục. Nếu bạn cũng sử dụng OCSP để kiểm tra chứng chỉ CA, hãy đặt một bản sao chứng chỉ CA vào thư mục đó.
Chạy certutil -downloadocsp tải xuống kết quả certs một lần. Điều này sẽ tạo ra một .ocsp tập tin trong kết quả cho mỗi phản hồi.
Cuối cùng, chạy kết quả certutil\????.ocsp để xem từng phản hồi dưới dạng văn bản gốc.

Trên đây là từ tài liệu tuyệt vời của Mark Cooper trang mạng.

0 + 3

Charlweed

20:59, 05/11/2022

Cảm ơn rất nhiều! Tôi đã thử cách trên: không phải trên máy chủ Exchange của tôi mà trên máy trạm Windows 10. Tôi xem certutil tạo kết nối với bộ phản hồi ocsp của mình và nó tải xuống thứ gì đó, nhưng nó báo "Lỗi => Đang chờ tải xuống phản hồi OCSP". Không có gì được tạo trong thư mục kết quả. Ít nhất bây giờ tôi có công cụ để làm việc và một số tài liệu để đọc.

Hồi đáp

Charlweed

22:03, 05/11/2022

Tôi liên tục không nhận được kết quả nào và lỗi " Error => Đang chờ tải xuống phản hồi OCSP -- " ... ... ... Tôi không nhận được thông tin xác thực nào từ google khi tìm kiếm certutil "Đang chờ tải xuống phản hồi OCSP"

Hồi đáp

garethTheRed

06:16, 06/11/2022

Tôi không thể giúp bạn ở đó vì tôi không thể báo lỗi - nó hoạt động với tôi khi tôi chạy nó dựa trên chứng chỉ mà tôi đã tải xuống từ Internet (trong trường hợp này là Gmail).

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Windows: How can I diagnose certificate revocation check failure, when I know the OK response is sent?

TH: Windows: ฉันจะวินิจฉัยความล้มเหลวในการตรวจสอบการเพิกถอนใบรับรองได้อย่างไร เมื่อฉันทราบว่ามีการตอบกลับว่าตกลงแล้ว

RO: Windows: Cum pot diagnostica eșecul verificării revocării certificatului, când știu că răspunsul OK este trimis?

RU: Windows: как диагностировать сбой проверки отзыва сертификата, если я знаю, что ответ OK отправлен?

VI: Windows: Làm cách nào tôi có thể chẩn đoán lỗi kiểm tra thu hồi chứng chỉ khi tôi biết phản hồi OK đã được gửi?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.