Las listas de revocación de certificados (CRL) e IIS 5.0 preguntas más frecuentes

Seleccione idioma Seleccione idioma
Id. de artículo: 289749 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

INTRODUCCIÓN

En este artículo contiene respuestas a algunas preguntas frecuentes (P+F) acerca de las listas de revocación de certificados (CRL) y Microsoft Internet Information Services (IIS) 5.0.

Más información

P1: ¿qué es una lista de revocación de certificados (CRL) y lo que es un punto de distribución de CRL (CDP)?

A1: Una CRL es un archivo que contiene una lista de certificados revocados, sus números de serie y sus fechas de revocación. Un archivo CRL también contiene el nombre del emisor de la CRL, la fecha de efectividad y la siguiente fecha de actualización. De forma predeterminada, el período de validez más corto de una CRL es una hora.

Un CDP es la ubicación donde puede descargar la CRL más reciente. Un CDP normalmente aparece en el campo Puntos de distribución CRL de la ficha Detalles del certificado. Es habitual para enumerar varios CDP que utilizar métodos de acceso diferente para asegurarse de que programas, como exploradores Web y servidores Web, siempre pueden obtener la CRL más reciente.

Los siguientes son ejemplos de entradas CDP:
[1]CRL Distribution Point            
Distribution Point Name:
Full Name:
URL=ldap:///CN=SecTestCA1,CN=SECTESTCA1,CN=CDP,CN=Public%20Key%20Services,
CN=Services,CN=Configuration,DC=rte,DC=microsoft,
DC=com?certificateRevocationList?base?objectclass=cRLDistributionPoint

[2]CRL Distribution Point            
Distribution Point Name:
Full Name:
URL=http://sectestca1.rte.microsoft.com/CertEnroll/SecTestCA1.crl

[3]CRL Distribution Point            
Distribution Point Name:
Full Name:
URL=file://\\sectestca1.rte.microsoft.com\CertEnroll\SecTestCA1.crl
T2: cuando IIS 5.0 recuperar una CRL?

A2: Cada CRL tiene una fecha efectiva. La fecha de efectividad también se conoce como "actualización siguiente" o "período de validez". IIS 5.0, se recupera una CRL sólo si una de las siguientes condiciones es true:
  • La CRL del certificado no está incluida en la caché de IIS 5.0.
  • La fecha efectiva de la CRL en la caché de IIS 5.0 ha pasado.
T3: si el certificado contiene varios puntos de distribución CRL, realiza IIS 5.0 recuperar la CRL desde cada ubicación?

A3: no. Se utiliza sólo la primera o superior, la ubicación. Si no se realiza correctamente, IIS 5.0 intenta el siguiente punto de distribución de CRL.

T4: está el contenido de cada lista CRL de cada punto de distribución CRL descargado y combinar?

A4: no. Sólo una lista CRL se descarga.

Q5: está almacenadas en el equipo que ejecuta IIS 5.0 de CRL?

A5: Sí. Sin embargo, cualquier consecuencias derivados de la manipulación de la CRL no son compatibles con soporte técnico de Microsoft.¿ P6: cómo se identifican las CRL? Es decir, qué extensión CRL archivos utilice?

A6: CRL utilice una extensión de .CRL. Por ejemplo, .CRL CRL FileName [1].

Nota El FileName aparece en el punto de distribución de CRL en el certificado.

Q7: qué se produce si IIS 5.0 no puede encontrar una de las listas CRL?

A7: Forma predeterminada, IIS 5.0 falla si no se tiene acceso a la CRL de un certificado. Por lo tanto, varias rutas de acceso y protocolos se utilizan para el mismo punto de distribución CRL. Por ejemplo, los protocolos y las rutas de acceso siguientes se utilizan en la dirección URL de un punto de distribución de CRL:
  • HTTP
  • Protocolo ligero de acceso a directorios (LDAP)
  • Archivo
¿ P8: qué mensaje de error aparece en el Explorador de Web si no puede obtenerse una CRL eficaz? Es el mismo mensaje de error muestra si se obtiene la CRL y si se ha revocado el certificado?

A8: Sí, recibirá el mismo mensaje de error en ambos escenarios. Recibirá el siguiente mensaje de error:
HTTP 403.13 prohibido: El certificado de cliente revocado

La página requiere un certificado de cliente válido

Q9: puede experimentar uno de los síntomas siguientes:
  • que la CRL no está disponible. Sin embargo, IIS no recupera una CRL nueva y no aparece a errores.
  • revoque un certificado y volver a publicar la CRL. Sin embargo, IIS 5.0 permite seguir los usuarios encontrar un sitio Web mediante el certificado revocado.
A9: Ambos de estos escenarios están relacionados con el mismo problema. IIS 5.0 utiliza todavía una CRL en caché que no se ha pasado su fecha de efectividad. Para obtener más información, vea "C2: cuando IIS 5.0 recuperar una CRL? ?.

Q10: es posible forzar la CRL almacenada en caché para actualizar?

A10: No se puede forzar la CRL almacenada en caché para actualizar. La CRL tiene una fecha de caducidad. Cuando caduca el CR, se renueva la CRL.

Todos los certificados se almacenan en la caché cuando se seleccionan los certificados desde un almacén o desde una dirección URL. La única diferencia es la ubicación donde se almacenan los certificados almacenados en caché. Los certificados pueden almacenarse en las ubicaciones siguientes:
  • Memoria

    Todos los certificados obtenidos se almacenan en caché en memoria.
  • Almacén de CA

    Almacenan todos los certificados que se recuperan desde cualquier dirección URL compatibles con WinInet, como HTTP, FTP, LDAP y FILE mediante la extensión acceso a la información de entidad emisora (AIA) se almacenan en caché en la entidad emisora.
  • Sistema de archivos local

    Si la recuperación URL ldap: / / ftp: / / o http://, el certificado o CRL también se almacena por WinInet en el sistema de archivos local. La caché se almacena en la carpeta Documents and Settings\ carpeta de archivos Internet \Configuración local\Archivos temporales de UserName.
Para obtener información adicional acerca de los certificados y acerca del almacenamiento en caché, visite el siguiente sitio Web:
http://www.microsoft.com/technet/prodtechnol/winxppro/support/tshtcrl.mspx

Más información

¿Q12 : IIS 5.0 de pueden realizar comprobación de CRL de "real time"?

A12 : no. IIS 5.0 utiliza la CRL en la caché hasta que caduque la CRL. El periodo de validez más bajo una CRL se publica por servicios de Microsoft Certificate Server es una hora. Puede eliminar la CRL de la caché para forzar la recuperación de una CRL nueva. Sin embargo, la nueva lista CRL aún tiene el mismo período de validez.

Referencias

Para obtener más información acerca de Internet X.509 Public Key Infrastructure Certificate y perfil CRL, visite el siguiente sitio Web de Internet Engineering Task Force (IETF):

Solicitud de comentarios (RFC) 2459
http://www.ietf.org/rfc/rfc2459.txt?number=2459

Propiedades

Id. de artículo: 289749 - Última revisión: martes, 21 de noviembre de 2006 - Versión: 8.1
La información de este artículo se refiere a:
  • Microsoft Internet Information Services 5.0
Palabras clave: 
kbmt kbtshoot kbfaq kbinfo KB289749 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 289749
Renuncia a responsabilidad de los contenidos de la KB sobre productos a los que ya no se ofrece asistencia alguna
El presente artículo se escribió para productos para los que Microsoft ya no ofrece soporte técnico. Por tanto, el presente artículo se ofrece "tal cual" y no será actualizado.

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com