我使用openssl为内部testing使用创build了一个自签名根CA证书。 这已成功安装,并在许多机器和平台(Windows,Linux,各种Java / .NET /浏览器客户端)上用作可信CA。
一个用户(运行WinXP SP3 / IE8)在尝试将CA证书导入其受信任的根存储时收到以下错误:“此证书已被其证书颁发机构吊销”
CA确实引用了我自己创build的CRL,但它是空的。 用户可以手动访问和查看CRL并确认它是空的。 在IE浏览器中禁用CRL检查,但是我猜这个设置在填充证书存储时可能不适用。
什么可以解释这个? 有没有办法从不同的CA,但具有相同的指纹撤销证书可以导致我的CA证书被标记为撤销?
虽然线程很老,但我有答案。 当自签名证书放置在不受信任的证书存储区中时,可以在Windows上吊销自签名证书。
关于CRL:即使出现,默认情况下,Microsoft CryptoAPI客户端将忽略自签名证书中的CDP,并仅检查非根证书的撤销。
当客户端无法访问您的CRL时,会发生这种情况。
请参阅http://support.microsoft.com/kb/289749 :
问题8:如果无法获得有效的CRL,Web浏览器中将显示什么错误消息? 如果获得CRL并且证书被吊销,是否显示相同的错误消息?
A8:是的,在这两种情况下都会收到相同的错误消息。 您收到以下错误信息:
HTTP 403.13 Forbidden: Client certificate revoked The page requires a valid client certificate