บรรจวบ เข้าสู่ระบบ
Score:1
avatar Server

Windows: ฉันจะวินิจฉัยความล้มเหลวในการตรวจสอบการเพิกถอนใบรับรองได้อย่างไร เมื่อฉันทราบว่ามีการตอบกลับว่าตกลงแล้ว

ธง in
Charlweed

TL;DR; จะค้นพบสิ่งผิดปกติกับการตอบสนองของ OCSP บน Windows ได้อย่างไร

ฉันกำลังพยายามติดตั้งใบรับรองใหม่ใน Exchange Server 2019 ภายในองค์กร แต่ Exchange รายงานเสมอว่าใบรับรองใหม่ไม่ผ่านการตรวจสอบการเพิกถอนและจะไม่ใช้งาน ใบรับรองใหม่มีห่วงโซ่ความน่าเชื่อถือจากใบรับรองใหม่ ผ่าน CA ระดับกลางไปยัง CA รูทของฉัน เมื่อฉันเปิดใบรับรองใหม่ใน certmgr.msc ฉันเห็นว่าห่วงโซ่นั้น และใบรับรองทั้งหมดถูกรายงานว่าตกลงใน certmgr ฉันได้ติดตั้ง root CA ของฉันในร้านค้า âTrusted Root Certification Authoritiesâ store ฉันได้ติดตั้ง CA ระดับกลางในร้านค้า âIntermediate Certification Authoritiesâ

ใบรับรองใหม่ การเข้าถึงข้อมูลผู้มีอำนาจ URL ระบุผู้ตอบกลับ OCSP ของฉันเอง ฉันรู้ว่านี่ไม่ใช่ปัญหาการเชื่อมต่อหรือพร็อกซี เพราะฉันเฝ้าดูบันทึก OCSP แบบเรียลไทม์ และฉันรู้ว่ามีการเชื่อมต่อแล้ว และผู้ตอบกลับ OCSP ของฉันก็ส่งใบรับรองว่า âOKâ ฉันได้ทดสอบด้วย openssl-ocsp บนโฮสต์ linux และการตรวจสอบนั้นสำเร็จเมื่อฉันใช้คำสั่ง openssl นี้:

   opensl ocsp 
      - ผู้ออก "$ca_sub_cert_file" 
      -ใบรับรอง "$exchangeCert" 
      -resp_text 
      -CApath "$CA_ROOTS_HASHES_DIR" 
      -url "http://$hostNameFull:$ocsp_port/"

โปรดทราบว่าคำสั่ง openssl ข้างต้นอ้างถึงไฟล์ ผู้ออก, และ CApathและนั่นทำให้เกิดความเชื่อถือต่อ CA ระดับกลาง บน Windows ฉันคาดว่าการติดตั้ง root-ca และ CA ระดับกลางจะเปิดใช้งานความน่าเชื่อถือสำหรับการตอบสนองของ OCSP ในทำนองเดียวกัน แต่ฉันไม่ทราบว่าจะทดสอบสิ่งนี้ได้อย่างไร

ไม่จำเป็น แต่ฉันยัง âติดตั้งâ ใบรับรองสำหรับ ocsp-responder ฉันอนุญาตให้วิซาร์ดเลือกร้านค้าโดยอัตโนมัติ และไม่พบตำแหน่งที่เก็บ ไม่ปรากฏขึ้นเมื่อฉันค้นหาใน certmgr.msc ฉันไม่ได้ติดตั้งด้วยตนเองเพราะฉันไม่รู้ว่าร้านไหนที่ฉันควรใช้

ฉันสงสัยว่าการตอบสนองจากตัวตอบกลับ openssl OCSP ของฉันนั้นผิดสำหรับ Exchange Server 2019 ทฤษฎีของฉันคือ:

  • ไม่สามารถสร้าง trust chain จากใบรับรองใหม่ไปยัง root ของฉันได้ แคลิฟอร์เนีย
  • ห่วงโซ่ถูกสร้างขึ้น แต่หนึ่งในใบรับรองสำหรับ ocsp-responder, intermediate-ca หรือ root-ca ไม่น่าเชื่อถือ สม่ำเสมอ แม้ว่าจะมีการติดตั้ง intermediate-ca และ root-ca
  • openSSL การตอบสนองเข้ากันไม่ได้กับ Windows และหรือ Exchange Server 2019

ฉันจะทดสอบทฤษฎีข้างต้นได้อย่างไร ฉันค้นหาบันทึกเหตุการณ์ของ windows แต่ไม่มีการกล่าวถึง OCSP หรือการเพิกถอน

1217
1 + 1
cn flag
Crypt32
ฉันไม่คิดว่า OCSP เป็นปัญหาของคุณ ปัญหาของคุณน่าจะอยู่ใน CRL มากที่สุด โพสต์เอาต์พุตของคำสั่งต่อไปนี้: `certutil -verify -urlfetch exchcert.cer`
0
ตอบกลับ
Score:1
avatar Server
ธง br
garethTheRed

เดอะ certutil.exe มีตัวเลือกค่อนข้างใหม่ที่เรียกว่า - ดาวน์โหลด ocsp ซึ่งคุณสามารถใช้เพื่อตรวจสอบการตอบกลับของ OCSP

  1. ในพรอมต์คำสั่ง ให้สร้างสองโฟลเดอร์ที่เรียกว่า ใบรับรอง และ ผล.
  2. วางใบรับรองเซิร์ฟเวอร์ Exchange ของคุณใน ใบรับรอง โฟลเดอร์ หากคุณใช้ OCSP เพื่อตรวจสอบใบรับรอง CA ด้วย ให้วางสำเนาใบรับรอง CA ไว้ในโฟลเดอร์นั้น
  3. วิ่ง certutil -downloadocsp certs ผลลัพธ์ดาวน์โหลดครั้งเดียว. สิ่งนี้จะสร้าง .ocsp ไฟล์ภายใน ผล สำหรับแต่ละคำตอบ
  4. ในที่สุดเรียกใช้ ใบรับรองผลลัพธ์\????.ocsp เพื่อดูคำตอบแต่ละรายการเป็นข้อความล้วน

ข้างต้นมาจากความยอดเยี่ยมของ Mark Cooper เว็บไซต์.

0 + 3
in flag
Charlweed
ขอบคุณล้าน! ฉันได้ลองทำสิ่งข้างต้นแล้ว: ไม่ใช่บนเซิร์ฟเวอร์แลกเปลี่ยนของฉัน แต่บนเวิร์กสเตชัน Windows 10 ฉันดูใบรับรองเชื่อมต่อกับตัวตอบกลับ ocsp ของฉัน และมันดาวน์โหลดบางอย่าง แต่มันแจ้งว่า "ข้อผิดพลาด => รอการดาวน์โหลดการตอบสนองของ OCSP" ไม่มีการสร้างสิ่งใดในไดเร็กทอรีผลลัพธ์ อย่างน้อยตอนนี้ฉันก็มีเครื่องมือให้ใช้งานแล้ว และมีเอกสารประกอบให้อ่าน
0
ตอบกลับ
in flag
Charlweed
ฉันไม่ได้รับผลลัพธ์ใด ๆ อย่างสม่ำเสมอและข้อผิดพลาด " Error => Pending OCSP response download -- " ... ... ... ฉันไม่ได้รับอะไรจริงจาก Google ค้นหาใบรับรอง "รอการดาวน์โหลดการตอบสนอง OCSP"
0
ตอบกลับ
br flag
garethTheRed
ฉันไม่สามารถช่วยคุณได้เนื่องจากไม่สามารถทำให้เกิดข้อผิดพลาดได้ - มันใช้งานได้สำหรับฉันเมื่อฉันเรียกใช้ใบรับรองที่ฉันดาวน์โหลดจากอินเทอร์เน็ต (GMail ในกรณีนี้)
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา