我正在尝试导入由我使用 AD CS 在 Windows 中设置的 CA 创建的证书。我做了以下事情:
1) 创建我自己的 CA (MyCompany)
2) 启用 Web 服务(主要是为了便于配置)
3) 在 Sonicwall 本身上生成证书请求
4) 使用 Web 服务对证书进行签名
5) 将签名证书导入 Sonicwall。 ..这导致证书显示“已验证”字段的“否”。
6)导入CA的证书。
这就是我卡住的地方。我尝试导入 CRL 列表,但收到以下错误:CRL Error - Verification failed using CA certificate. 日志中不再出现错误。如果没有 CRL 列表,证书将无法验证,并且不会出现在“管理”页面下,因此我可以选择它以通过 HTTPS 使用。
有任何想法吗?
编辑:当我尝试使用我的 HTTP 发布列表时,来自 Sonicwall:
07/02/2013 14:33:54.256 Alert VPN PKI Cannot Validate Issuer Path HTTPS
19 07/02/2013 14:33:54.256 Alert VPN PKI CRL validation failure for Root Certificate MyCompanyCA
20 07/02/2013 14:33:54.256 Alert VPN PKI Failed to Process CRL from http://crl.mydomain.com/Cert
Enroll/ CA: MyCompanyCA
因此,在使用全新的 CA 回到这一点后,似乎SonicOS 5.8 中实际上存在导致此问题的错误。我的 CA 证书是 SHA512,而 SonicOS 仅支持 SHA1。不幸的是,我还不能升级到 5.9(这解决了这个问题)。如果这对其他人有帮助,那就太棒了。
好吧,做疯狂的猜测,让我们这样做:
让我们从愚蠢的事情开始:你确定你正在导入正确的文件吗?!:)
DNS 是否正确?sonicwall 能否成功解析 crl.mydomain.com ?
时间正确吗?确保双方都配置了 ntp 服务器,通常证书管理需要正确的时间。
crl url 真的可以下载任何东西吗?
您可以查看 Windows CA 日志以确认文件已下载吗?或者更好的是,在 Windows CA 中加载嗅探器(如wireshark),看看你是否收到任何请求,在哪个端口上收到请求以及回复什么。如果什么也没得到,请检查防火墙、路由问题、acl 等
如果您收到请求并使用有效信息成功回复,则可能是 sonicwall 问题。
如果一切都失败,请向 SonicWall 提出服务请求,他们应该会帮助您调试问题