PKI/CA: Exchange server 2010 匯入第三方CA伺服器證書注意事項_20180705_七俠鎮莫尛貝
一. 證書模板問題: 要包含這兩個增強金鑰用法.
二. 證書無效問題. 要把證書的根匯入到本地計算機相應儲存區.具體略.
三. 吊銷檢查失敗問題.
1. 根證書中不要包含crl屬性.
2. 要保證子CA證書中的crl屬性正確,可正常下載crl. crl下載正常時,可無需手動匯入crl. 可以修改hosts檔案來解決crl地址中域名解析問題.但改完後要過一段時間才能生效.(可能幾分鐘--幾十分鐘)
3. 如果crl地址不正確,手動匯入的crl根本無用.
4. 如果子CA證書中不包含crl屬性, 則需要手動匯入crl. 但crl是有有效期的,一般是24小時. 24小時後證書仍然會顯示吊銷檢查失敗.解決辦法為:調整CA系統配置,簽發一個有效期長一點的crl,比如幾年,匯入到exchange server.
2018/7/17 補充:
1.子CA中如果包含了頒發機構資訊訪問屬性,則要保證ocsp可用. 否則仍然會報吊銷檢查失敗. 刪掉這個屬性,證書一樣用.
2.如果直接用root籤exchange證書,windows好像根本不檢查root證書的ocsp和crl (待確認! 20180807補充:已確認不檢查!)
3.可以下載一個digicert提供的小工具幫你檢查exchange證書的狀態. https://www.digicert.com/util/DigiCertUtil.exe
4.用openssl可以建立一個 ocsp 服務: https://blog.csdn.net/andylau00j/article/details/79745673
當然驗證一個證書的ocsp也是沒問題的. 注意index.txt的生成方法. 這個檔案的實際內容如果只是00或01什麼的是不行地,而應該是醬嬸兒的(各個欄位間用的是tab,不是空格):
V 220712064317Z 1582EF50C462F31E662DF2B01059F629748D34FC unknown /C=CN/ST=Beijing/L=Beijing/O=Moxiaobei.com/OU=Test2/
CN=www.test.com/
5.這有一篇文章(https://blog.csdn.net/wuwenlong527/article/details/1826812)說,有一個www.openvalidation.org網站可以模擬ocsp服務端, 訪問不同的埠就可以返回不同的ocsp驗證結果. 不過是07年的文章,現在已經訪問不到這個網站了,不知道是被牆了還是網站已掛.
參考資料:
1. https://www.digicert.com/util/utility-test-ocsp-and-crl-access-from-a-server.htm
2.https://docs.microsoft.com/zh-cn/previous-versions/office/exchange-server-2010/dd298096(v=exchg.141)
3.https://blog.csdn.net/andylau00j/article/details/79745673
4.https://blog.csdn.net/wuwenlong527/article/details/1826812