У меня есть сервер сертификатов в сети с двумя серверами, которые находятся перед ним в цепочке, поэтому, когда я просматриваю путь сертификации своего сертификата в MMC, я вижу два сертификата выше. Первоначально проверка этого сертификата не работала, потому что во время моего настраиваемого валидатора произошла ошибка с отзывом с использованием метода X509Chain.Build(). Поэтому, поскольку я понял, что мой сгенерированный сертификат не содержит точек распространения CRL, я заставил сервер сертификатов генерировать их, поэтому теперь, используя флажок «Включить в расширение CDP выпущенных сертификатов» на моем сервере сертификатов, сервер сертификатов генерирует Точка распространения HTTP CRL для этого сертификата, и я вижу это. Я даже могу получить доступ к URL-адресу, который он содержит, и загрузить файл CRL. Теперь проблема, в том, что в то время как я пытаюсь проверки этого сертификата в моем приложении службы работает под учетной записью локальной системы, я получаю следующее сообщение об ошибке в списке X509Chain.ChainStatus после выдачи X509Chain сборки:Почему мой сертификат не проверяется?
Status: OfflineRevocation
StatusInformation: The revocation function was unable to check revocation because the revocation server was offline.
Использование консоли приложение работает под свою учетной записью администратора, я получаю следующее сообщение об ошибке:
Status: RevocationStatusUnknown
StatusInformation: The revocation function was unable to check revocation for the certificate.
кто-нибудь есть какие-то идеи о том, что я могу попробовать еще, чтобы получить ревокацию работать для моего сертификата, так что я могу реально проверить его? У меня, похоже, нет никаких проблем с проверкой сервера сертификатов.
Сначала попробуйте запустить CertUtil в сертификате, чтобы подтвердить свой сертификат и, чтобы увидеть подробности о том, что ОГТ это доступ и подробную информацию о ошибка. Пример: admin-enclave.com/en/tutorials/windows/57-how-to-verify-the-certificate-chain-via ... возможно, ваши сертификаты «сервер» CDP не могут быть доступны ... у них нет точки распространения HTTP CRL (возможно, пытается пройти через LDAP)? –
@colinsmith - Спасибо за ваш ответ, у меня есть вопрос к вам. Как использовать certutil с сертификатом .pfx? Я попытался экспортировать свой сертификат в качестве защищенного паролем файла pfx на рабочий стол и использовать ту же команду для его проверки, но я получаю сообщение об ошибке «CertUtil: ASN1 неожиданный конец данных». – Alexandru
Хорошо, я получил его, не экспортируя секретный ключ, таким образом, только экспортируя файл .cer. Я посмотрю на это сейчас ... – Alexandru