OCSP จัดการกับใบรับรองที่ถูกลบอย่างไร

user2140583

13/8/23 19:23

เรามี Microsoft Certificate Authority ที่ทำงานบน Windows Server 2019 เรากำลังออกใบรับรองให้กับอุปกรณ์ Android ผ่าน MDM ผู้ใช้อุปกรณ์ Android เรียกดูเว็บแอปพลิเคชัน (โฮสต์โดย Apache ใช้งานใน PHP 8) โดยใช้เว็บเบราว์เซอร์ Chrome (บน Android) ที่ต้องใช้ใบรับรองไคลเอ็นต์

เรากำลังติดตั้งอินสแตนซ์ Windows Server 2019 แยกต่างหากที่มีบทบาท Microsoft OCSP Responder เพื่อตรวจสอบ/ยืนยันว่าใบรับรองไคลเอ็นต์ที่แสดงต่อเว็บเซิร์ฟเวอร์ Apache นั้นถูกต้อง Apache มีคำสั่งหลายคำสั่งเพื่อจัดการการตรวจสอบความถูกต้องของ OCSP เราต้องการตรวจสอบใบรับรองใน PHP เพื่อความปลอดภัยเพิ่มเติม

จากการวิจัยของฉันที่อ่าน RFCs และเอกสารทางเทคนิคของ Microsoft หลายฉบับ ดูเหมือนว่า Microsoft OCSP Responder จะตรวจสอบใบรับรองโดยอ้างอิงกับ CRL สำหรับสถานะการเพิกถอน

Microsoft OCSP Responder จะตรวจสอบใบรับรองอย่างไรหากใบรับรองถูกลบออกจาก CA แทนที่จะถูกเพิกถอน หากลบและไม่ถูกเพิกถอน จะไม่ปรากฏใน CRL

ฉันพลาดอะไรไปหรือเปล่า ตัวตอบกลับ OCSP ของ Microsoft จะตรวจสอบหมายเลขซีเรียลกับฐานข้อมูล CA ตลอดจนสถานะการเพิกถอนหรือไม่

0 + 0

ใบรับรอง

ใบรับรองผู้มีอำนาจ

ocsp

crl

บริการใบรับรองโฆษณา

Score:1

Server

Crypt32

14/8/23 07:50

ตัวตอบกลับ OCSP ของ Microsoft จะตรวจสอบหมายเลขซีเรียลกับฐานข้อมูล CA ตลอดจนสถานะการเพิกถอนหรือไม่

ตามค่าเริ่มต้น Microsoft OCSP จะรายงานหมายเลขซีเรียลเช่น "ดี" เริ่มต้นด้วย Windows Server 2008 R2 ฟังก์ชันการตอบสนอง OCSP เชิงกำหนดจะถูกเพิ่มไปยัง Microsoft OCSP กล่าวโดยย่อคือ CA เผยแพร่หมายเลขซีเรียลทั้งหมดของใบรับรองที่เคยออก และ OCSP ได้รับการกำหนดค่าให้ตรวจสอบไดเร็กทอรีนี้ด้วย พฤติกรรมใหม่ทำสิ่งต่อไปนี้:

หากไม่มีหมายเลขซีเรียลในโฟลเดอร์ OCSP จะตอบกลับด้วย ไม่ทราบ สถานะ. ซึ่งหมายความว่า CA ไม่เคยออกหมายเลขซีเรียลที่ขอ
หากมีหมายเลขซีเรียลอยู่ในโฟลเดอร์ จะมีการตรวจสอบ CRL
หากซีเรียลอยู่ใน CRL ให้ตอบกลับด้วย เพิกถอน สถานะและตอบกลับด้วย ดี มิฉะนั้น.

รายละเอียดเพิ่มเติมเกี่ยวกับ Microsoft KB: บริการตอบกลับออนไลน์ไม่ส่งคืน GOOD ที่กำหนดขึ้นสำหรับใบรับรองทั้งหมดที่ไม่รวมอยู่ใน CRL

KB มีสคริปต์ที่ทิ้งหมายเลขซีเรียลทั้งหมดของใบรับรองที่ออกไว้ในโฟลเดอร์ที่กำหนดค่า อย่างไรก็ตามสคริปต์มีข้อบกพร่องเล็กน้อย มันส่งออกเฉพาะ serials ที่มีอยู่ในฐานข้อมูล CA ณ เวลาดำเนินการสคริปต์ ฐานข้อมูล CA ได้รับการดูแลและรายการเก่าจะถูกลบเพื่อป้องกันฐานข้อมูล CA มากเกินไป สิ่งนี้จะนำไปสู่ผลบวกที่ผิดพลาด ไม่ทราบ สถานะบนใบรับรองที่ถูกลบแม้ว่าใบรับรองนั้นจะออกและมีอยู่จริง ฉันชอบเก็บทุกอย่างที่ออกโดยไม่คำนึงถึงการบำรุงรักษา CA และตอบกลับด้วย ดี แม้ว่าใบรับรองจะถูกลบออกจาก CA เพื่อแก้ไขข้อบกพร่องนี้ ฉันขอแนะนำให้ลบบรรทัดเหล่านี้ออกจากสคริปต์:

ผบ. | แต่ละ {
    ลบรายการ $_ -บังคับ
}

สิ่งนี้จะเก็บหมายเลขซีเรียลที่ไม่มีอยู่ใน CA อีกต่อไประหว่างการรันสคริปต์

0 + 0

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: How does OCSP handle deleted certificates?

TH: OCSP จัดการกับใบรับรองที่ถูกลบอย่างไร

RO: Cum gestionează OCSP certificatele șterse?

RU: Как OCSP обрабатывает удаленные сертификаты?

VI: OCSP xử lý các chứng chỉ đã xóa như thế nào?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา