我试图导入由我在Windows中使用AD CS设置的CA创build的证书。 我做了以下:
1)创build了我自己的CA(MyCompany)
2)启用Web服务(主要是为了便于configuration)
3)在Sonicwall本身生成证书请求
4)使用Web服务签署证书
5)将签名证书导入Sonicwall …这导致证书显示“否”为validation字段。
6)导入CA的证书。
这是我卡住的地方。 我试图导入CRL列表,但得到以下错误: CRL Error - Verification failed using CA certificate 。 日志中不会再出现错误。 如果没有CRL列表,证书将不会被validation,也不会显示在“pipe理”页面下,因此我可以select通过HTTPS使用。
有任何想法吗?
编辑:当我尝试使用我的HTTP发布列表从Sonicwall:
07/02/2013 14:33:54.256 Alert VPN PKI Cannot Validate Issuer Path HTTPS 19 07/02/2013 14:33:54.256 Alert VPN PKI CRL validation failure for Root Certificate MyCompanyCA 20 07/02/2013 14:33:54.256 Alert VPN PKI Failed to Process CRL from http://crl.mydomain.com/Cert Enroll/ CA: MyCompanyCA
所以,回到这个全新的CA之后,看起来实际上是SonicOS 5.8导致这个问题的一个错误 。 我的CA证书是SHA512,SonicOS只支持SHA1。 不幸的是,我不能升级到5.9(这可以解决问题)。 如果这有助于其他人,真棒。
那么,做野生猜测,让我们这样做:
让我们从愚蠢的事情开始:你确定你正在导入正确的文件?! 🙂
DNS是否正确? sonicwall可以解决crl.mydomain.com的问题吗?
时间正确吗? 确保双方都configuration了ntp服务器,通常证书pipe理需要正确的时间。
crl url真的下载任何东西吗?
你能看到Windows的CA日志,以确认该文件被下载? 甚至更好,加载一个嗅探器(如wireshark)在Windows CA,看看你是否得到任何请求,在什么端口,你得到的请求,你回复。 如果你什么都得不到,请检查防火墙,路由问题,acl等
如果您收到请求并回复成功,则可能是sonicwall问题。
如果全部失败,请向SonicWall打开服务请求,他们应该帮助您debugging问题