Điểm:0

OCSP xử lý các chứng chỉ đã xóa như thế nào?

lá cờ sr

Chúng tôi có Cơ quan cấp chứng chỉ Microsoft chạy trên Windows Server 2019. Chúng tôi đang cấp chứng chỉ cho thiết bị Android thông qua MDM. Người dùng thiết bị Android duyệt đến một ứng dụng web (được lưu trữ bởi Apache, được triển khai trong PHP 8) bằng trình duyệt web Chrome (trên Android) yêu cầu chứng chỉ ứng dụng khách.

Chúng tôi đang cài đặt một phiên bản Windows Server 2019 riêng biệt với vai trò Bộ phản hồi OCSP của Microsoft để xác thực/xác minh rằng các chứng chỉ ứng dụng khách được cung cấp cho máy chủ web Apache là hợp lệ. Apache có một số chỉ thị để xử lý xác thực OCSP. Chúng tôi cũng muốn xác thực các chứng chỉ trong PHP để tăng cường bảo mật.

Từ nghiên cứu của tôi khi đọc một số RFC và tài liệu kỹ thuật của Microsoft, có vẻ như Bộ phản hồi OCSP của Microsoft xác thực chứng chỉ bằng cách tham chiếu CRL cho trạng thái thu hồi.

Làm cách nào để Trình phản hồi OCSP của Microsoft xác thực chứng chỉ nếu chúng đã bị xóa khỏi CA thay vì bị thu hồi? Nếu bị xóa và không bị thu hồi, chúng sẽ không hiển thị trong CRL.

Am i thiếu cái gì ở đây? Bộ phản hồi OCSP của Microsoft có xác thực số sê-ri đối với cơ sở dữ liệu CA cũng như trạng thái thu hồi của nó không?

Điểm:1
lá cờ cn

Bộ phản hồi OCSP của Microsoft có xác thực số sê-ri đối với cơ sở dữ liệu CA cũng như trạng thái thu hồi của nó không?

theo mặc định, Microsoft OCSP sẽ báo cáo số sê-ri đó là "Tốt". Bắt đầu với Windows Server 2008 R2, chức năng phản hồi OCSP xác định được thêm vào Microsoft OCSP. Nói tóm lại, CA xuất bản tất cả các số sê-ri của các chứng chỉ đã từng được cấp và OCSP cũng được định cấu hình để xem xét thư mục này. Hành vi mới thực hiện như sau:

  • nếu số sê-ri không tồn tại trong thư mục, OCSP sẽ phản hồi bằng KHÔNG XÁC ĐỊNH trạng thái. Điều này có nghĩa là số sê-ri được yêu cầu không bao giờ được cấp bởi CA
  • nếu số sê-ri tồn tại trong thư mục, CRL sẽ được kiểm tra
  • nếu sê-ri được liệt kê trong CRL, hãy trả lời bằng ĐÃ THU HỒI trạng thái và trả lời với TỐT nếu không thì.

Thêm chi tiết về Microsoft KB: Dịch vụ phản hồi trực tuyến trả lại một TỐT xác định cho tất cả các chứng chỉ không có trong CRL

KB chứa tập lệnh kết xuất tất cả số sê-ri của chứng chỉ đã cấp vào thư mục được định cấu hình. Tuy nhiên, kịch bản có một chút thiếu sót. Nó chỉ xuất các sê-ri tồn tại trong cơ sở dữ liệu CA tại thời điểm thực thi tập lệnh. Cơ sở dữ liệu CA được duy trì và các mục cũ bị xóa để ngăn cơ sở dữ liệu CA phát triển quá mức. Điều này sẽ dẫn đến dương tính giả KHÔNG XÁC ĐỊNH trạng thái trên các chứng chỉ đã bị xóa mặc dù chứng chỉ đã được cấp và tồn tại ở đâu đó ngoài tự nhiên. Tôi muốn giữ mọi thứ đã phát hành bất kể bảo trì CA và phản hồi bằng TỐT ngay cả khi chứng chỉ đã bị xóa khỏi CA. Để giải quyết lỗ hổng này, tôi khuyên bạn nên xóa những dòng này khỏi tập lệnh:

thư mục | cho mỗi {
    xóa mục $_ -force
}

điều này sẽ giữ các số sê-ri không còn tồn tại trên CA giữa các lần chạy tập lệnh.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.