Perguntas frequentes sobre listas de certificados revogados (CRLs) e o IIS 5.0

Isenção de Responsabilidade para Conteúdo da KB Desativado

Este artigo foi escrito sobre produtos para os quais a Microsoft já não fornece suporte. Por conseguinte, este artigo é oferecido "tal como está" e não será mais atualizado.

INTRODUÇÃO

Este artigo contém respostas para algumas perguntas mais frequentes (FAQ) sobre listas de certificados revogados (CRLs) e Serviços de Informações da Internet da Microsoft (IIS) 5.0.

Mais informações

T1: O que é uma lista de revogação de certificados (CRL) e o que é um ponto de distribuição de CRL (CDP)?

A1: Uma CRL é um arquivo que contém uma lista de certificados revogados, seus números de série e suas datas de revogação. Um arquivo de lista de certificados Revogados também contém o nome do emissor da CRL, a data de efetivação e a próxima data de atualização. Por padrão, o período de validade mais curto de uma CRL é uma hora.

Um CDP é o local onde você pode baixar a CRL mais recente. Um CDP normalmente é listado no campo Pontos de distribuição da CRL da guia detalhes do certificado. É comum para listar vários CDPs que usam métodos diferentes de acesso para certificar-se de que programas, como navegadores da Web e servidores Web, sempre podem obter a CRL mais recente.

A seguir estão exemplos de entradas CDP:
[1]CRL Distribution Point            Distribution Point Name:
Full Name:
URL=ldap:///CN=SecTestCA1,CN=SECTESTCA1,CN=CDP,CN=Public%20Key%20Services,
CN=Services,CN=Configuration,DC=rte,DC=microsoft,
DC=com?certificateRevocationList?base?objectclass=cRLDistributionPoint

[2]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=http://sectestca1.rte.microsoft.com/CertEnroll/SecTestCA1.crl

[3]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=file://\\sectestca1.rte.microsoft.com\CertEnroll\SecTestCA1.crl
Q2: Quando IIS 5.0 recuperar uma lista de certificados Revogados?

A2: Cada CRL tem uma data de efetivação. A data de efetivação é também conhecida como "próxima atualização" ou o "período de validade". IIS 5.0 recupera uma lista de certificados Revogados somente se uma das seguintes condições for verdadeira:
  • A CRL do certificado não está contida no cache do IIS 5.0.
  • Passou a data efetiva da CRL no cache do IIS 5.0.
3º trimestre: Se o certificado contiver vários pontos de distribuição de CRL, IIS 5.0 recuperar a CRL de cada local?

A3: não. Somente o primeiro, ou superior, local é usado. Se não houver êxito, o IIS 5.0 tenta o próximo ponto de distribuição de CRL.

4º trimestre: O conteúdo de cada CRL em cada ponto de distribuição de CRL baixado e combinado?

A4: não. Somente uma CRL é baixada.

P5: CRLs são armazenadas no computador que está executando o IIS 5.0?

A5: Sim. No entanto, quaisquer consequências resultantes da manipulação da CRL não são suportadas pelo Microsoft Product Support Services.
Q6: Como CRLs identificadas? Isto é, qual extensão arquivos CRL usar?

A6: CRLs usam uma extensão. CRL. Por exemplo,. CRL CRLFileName[1].

Observação: O nome do arquivo está listado no ponto de distribuição da CRL no certificado.

Q7: O que ocorre se o IIS 5.0 não é possível localizar um as CRLs?

A7: Por padrão, o IIS 5.0 falhará se a CRL de um certificado não pode ser acessada. Portanto, vários caminhos e protocolos são usados para o mesmo ponto de distribuição de CRL. Por exemplo, os protocolos e os caminhos a seguir são usados na URL de um ponto de distribuição da CRL:
  • HTTP
  • Lightweight Directory Access Protocol (LDAP)
  • Arquivo
P8: Que mensagem de erro é exibida no navegador da Web se não é possível obter uma CRL eficaz? A mesma mensagem de erro é exibida se a CRL é obtida e se o certificado foi revogado?

A8: Sim, você recebe a mesma mensagem de erro em ambos os cenários. Você recebe a seguinte mensagem de erro:
HTTP 403.13 Proibido: Certificado de cliente revogado

A página requer um certificado de cliente válido

Q9: Você enfrentar um dos seguintes sintomas:
  • Disponibilizar a CRL. No entanto, o IIS não recupera uma nova CRL e não parece falhar.
  • Revogar um certificado e republicar a lista de certificados Revogados. No entanto, o IIS 5.0 ainda permite aos usuários localizar um site da Web usando o certificado revogado.
A9: Ambos esses cenários estão relacionados ao mesmo problema. IIS 5.0 ainda usa uma CRL em cache que não passou sua data efetiva. Para obter mais informações, consulte "Q2: quando o IIS 5.0 recuperar uma CRL?".

Q10: É possível forçar a CRL em cache para atualizar?

A10: Não é possível forçar a CRL em cache para atualizar. A CRL tem uma data de expiração. Quando a CR expira, a CRL é renovada.

Todos os certificados são armazenados em cache quando os certificados são selecionados em uma loja ou de uma URL. A única diferença é o local onde os certificados em cache são armazenados. Certificados podem ser armazenados nos seguintes locais:
  • Memória

    Todos os certificados obtidos são armazenados em cache na memória.
  • Armazenamento de CA

    Armazenam todos os certificados que são recuperados de URLs com suporte WinInet, como HTTP, FTP, LDAP e FILE usando a extensão de acesso de informações da autoridade (AIA) são armazenados em cache na CA.
  • Sistema de arquivos local

    Se a URL de recuperação for ldap: / /, ftp: / /, ou http://, o certificado ou CRL é também armazenada em cache pelo WinInet no sistema de arquivos local. O cache é armazenado na pasta Documents and Settings \ pasta donome de usuário\Local Settings\Temporary Internet Files.
Para obter informações adicionais sobre certificados e sobre armazenamento em cache, visite o seguinte site da Microsoft:

Mais informações

Q12: pode IIS 5.0 executar a verificação de CRL de "tempo real"?

A12: não. IIS 5.0 usa a CRL em cache até que a CRL expira. O menor período de validade de uma CRL é publicado por serviços de certificados Microsoft é uma hora. Você pode excluir a lista de certificados Revogados do cache para forçar a recuperação de uma nova CRL. No entanto, a nova CRL ainda tem o mesmo período de validade.

Referências

Para obter mais informações sobre Internet x. 509 Public Key Infrastructure Certificate e perfil CRL, visite o seguinte site da Internet Engineering Task Force (IETF):

Solicitação de comentários (RFC) 2459
Propriedades

ID do Artigo: 289749 - Última Revisão: 19 de fev de 2017 - Revisão: 1

Comentários