开发者社区> 科技小先锋> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

解决企业子CA无法检查吊销的问题

简介:
+关注继续查看

【引言】

“大数据时代的到来已经势不可挡。在海量的数据面前,已经有越来越多的人意识到大数带来的挑战。其中非常重要的一项挑战就是信息的安全。在这样的背景下,加密技术得到了非常广泛的应用,而证书,作用加密技术中密钥传递的载体,也已被广泛。

对于较大型的企业,单一的证书颁发机构(后简称CA)已不能满足业务和管理的需求,在部署层级CA的过程中,很多管理员会遇到子CA的服务无法启动的情况,本文将带你探索原因并解决问题。

【正文】

1.           设计离线根CA

CACA证书为自签名,在证书的信任链中,处于顶端,保护根CA的安全对整个证书的结构非常重要。为此,我们可以用工作组服务器部署离线根CA

离线的根CA,并不直接面向证书申请者,而仅仅是为子CA颁发CA证书。也不需要与企业的网络环境相连,申请证书时,用移动存储设备将子CA的申请文件复制到根CA即可。之所以要用工作组状态的计算机,是因为域内的计算机脱离域环境60天后,安全通道会过期,即信任关系失效。

2.           部署企业子CA

在按照正常的方式部署完成企业子CA,申请并安装完证书后,很多管理员会遇到如下的报错,并无法启用子CA

                            wKiom1N7KUyD6sGiAAHJj_qbyms996.jpg

 

出现这一错误,是因为我们的根CA是处于工作组状态,并不能成功发布吊销列表。由于我们的根CA仅仅是为子CA颁发CA证书,所以其吊销列表意义并不大,我们可以通过一行命令,关闭子CA验证吊销列表这一动作。命令如下:

certutil.exe -setregca\CRLFLags +CRLF_REVCHECK_IGNORE_OFFLINE

wKioL1N7KS-Tn31fAAFpZ2ap18U242.jpg

再次启用子CA,即可成功开启:

wKiom1N7KW2BvkntAACpyy3MnHw871.jpg

如果要再次开启验证吊销服务器,可以将+变成-

certutil.exe -setreg ca\CRLFLags -CRLF_REVCHECK_IGNORE_OFFLINE

3.           刨根问底

其实问题至此,已经解决了。但本着刨根问底的劲头,我们再来深入挖掘一下。因为有些管理在部署层级CA的时候,并没有遇到这个问题。

那是因为,这部分管理员部署的根CA并不是工作组状态的,而是域内的成员计算机。为此,我们来看一下,成员计算机默认情况下的吊销列表发布信息:CA管理控制台-右键点击CA服务器-选择属性-点击扩展标签。

在这一标签中,我们可以看到默认情况下,吊销列表会发布到AD的配置分区下面。

wKioL1N7KUuwirZeAAJtq-Nsbn4446.jpg

接下来我们按照这个路径,利用ADSI编辑器查看一下已发布的吊销列表:

wKiom1N7KYOQNDY9AAFdVZMzmGI049.jpg

这就是为什么当根CA是成员计算机时,并无报错,但是当根CA是工作组计算机时,便无法开启的根本原因……



本文转自天鬼皇 51CTO博客,原文链接:http://blog.51cto.com/ghostlan/1414329,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
利用APICloud studio3可视化开发工具开发企业管理app
利用 APICloud studio3 可以帮助我们快速创建并运行一个简单的应用,内容涉及开发工具使用、代码管理、应用预览、调试等。现在我们来通过 APICloud studio3 快速创建一个企业管理 app,帮助企业提供信息展示、案例展示、加盟申请等。
66 0
5G、行为分析和网络安全:2021年企业最主要的技术考虑
未来一年将会看到更为深思熟虑的数字化转型方法的回归。很多组织采取了必要的初始步骤来转变流程,并准备在2021年完善。展望未来,组织的业务领导者和决策者需要花费时间确保业务运营得到有效优化。
42 0
6963
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载