Задать вопрос
yamaoto
@yamaoto
la programmeur

В ОС семейства MS Windows список отзыва сертификатов (CRL) применяется автоматически?

Есть сервис WCF который подписывает и проверяет запросы электронной подписью. Все работает нормально. Но вот возник вопрос по автоматической обработке CRL.

В корневом сертификате есть url откуда можно брать CRL
  • Вопрос задан
  • 4044 просмотра
Подписаться 3 Оценить Комментировать
Решения вопроса 1
@polarnik
Тестировщик
Да. CRL-файл запрашивается всегда, за исключением случаев:
- CRL уже хранится в кеше и с момента последнего обновления прошло меньше времени, чем указано в сроке жизни файла;
- CRL хранится в хранилище списка отзыва (локальный список отзыва), и также пока не устарел.
Отображение содержимого кеша:
certutil -urlcache crl

А вот OCSP-запросы могут не выполняться из-за настроек Windows. В Internet Explorer есть опция, проверять действительность сертификата издателя (как-то так). И если там указано, что проверять не надо, то OCSP-запросы посылаться не будут при автоматической проверке. Но, конечно, можно послать OCSP-запрос явно.

OCSP-ответы также кешируются.
Очистить кеш можно аналогично кешу CRL:
certutil -urlcache ocsp delete
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
RazorBlade
@RazorBlade
Не очень понятен вопрос. При каждой проверке цепочки сертификатов, клиент, в данном случае ОС Windows, скачивает по указанному URL список отзыва и проверяет нет ли там проверяемого сертификата, если нет, то все хорошо, если есть, то сертификат будет не валидный.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы