Início / server / Perguntas / 1068520
Accepted
Charlweed
Asked: 2021-07-03 12:15:55 +0800 CST

Windows: como posso diagnosticar uma falha na verificação de revogação de certificado quando sei que a resposta OK foi enviada?

  • 772

TL;DR; Como descobrir o que está errado com a resposta OCSP no Windows?

Estou tentando instalar um novo certificado no Exchange Server 2019 local. Mas o Exchange sempre informa que o novo certificado falha na verificação de revogação e não o usará. O novo certificado tem uma cadeia de confiança do novo certificado, por meio de uma CA intermediária até meu ca raiz. Quando abro o novo certificado no certmgr.msc, vejo que essa cadeia e todos os certificados são relatados como OK no certmgr. Instalei minha autoridade de certificação raiz na loja "Autoridades de certificação raiz confiáveis". Instalei a CA intermediária na loja “Autoridades de certificação intermediárias”.

A URL de acesso de informações de autoridade do novo certificado especifica meu próprio respondedor OCSP. Eu sei que isso não é um problema de conexão nem de proxy, porque eu observo os logs do OCSP em tempo real e sei que a conexão foi feita, e meu respondente do OCSP envia o certificado “OK”. Eu testei com openssl-ocsp em um host linux e essa validação é bem-sucedida, quando uso este comando openssl:

   openssl ocsp 
      -issuer "$ca_sub_cert_file" 
      -cert "$exchangeCert" 
      -resp_text 
      -CApath "$CA_ROOTS_HASHES_DIR" 
      -url "http://$hostNameFull:$ocsp_port/"

Observe que o comando openssl acima se refere explicitamente ao emissor e ao CApath , e isso habilita a confiança na CA intermediária. No Windows, eu esperava que a instalação do root-ca e do CA intermediário habilitasse a confiança para a resposta OCSP da mesma forma. Mas não sei como testar isso.

Não deveria ser necessário, mas também “instalei” um certificado para o ocsp-responder. Eu permiti que o assistente escolhesse a loja automaticamente, e não consigo encontrar onde ela foi colocada. Ele não aparece quando procuro no certmgr.msc. Não instalei manualmente, pois não sei qual loja devo usar.

Suspeito que a resposta do meu respondedor OCSP openssl esteja errada para o Exchange Server 2019. Minhas teorias são:

  • Uma cadeia de confiança não pode ser construída a partir do novo certificado para minha CA raiz
  • A cadeia é construída, mas um dos certificados para ocsp-responder, o intermediário-ca ou o root-ca não é confiável. Mesmo que o intermediário-ca e o root-ca estejam instalados.
  • A resposta openSSL é incompatível com Windows e/ou Exchange Server 2019

Como posso testar as teorias acima? Pesquisei nos logs de eventos do Windows, mas eles não contêm nenhuma menção a OCSP ou revogação.

ssl-certificate openssl exchange-server ocsp

1 respostas

  1. Best Answer

    O certutil.exetem uma opção relativamente nova, chamada -downloadocspque você pode usar para verificar as respostas do OCSP.

    1. Em um prompt de comando, crie duas pastas, chamadas certse results.
    2. Coloque seus certificados do servidor Exchange na certspasta. Se você também estiver usando o OCSP para verificar o certificado da CA, coloque uma cópia do certificado da CA nessa pasta.
    3. Executar certutil -downloadocsp certs results downloadonce. Isso criará um .ocsparquivo resultspara cada resposta.
    4. Por fim, execute certutil results\????.ocsppara visualizar cada resposta como texto simples.

    O texto acima é do brilhante site de Mark Cooper .

    • 1

relate perguntas