Listas de revogação de certificado (CRLs) e o IIS 5.0 perguntas freqüentes

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 289749
Aviso de Isenção de Responsabilidade sobre Conteúdo do KB Aposentado
Este artigo trata de produtos para os quais a Microsoft não mais oferece suporte. Por esta razão, este artigo é oferecido "como está" e não será mais atualizado.
INTRODUÇÃO
Este artigo contém respostas para algumas perguntas freqüentes (FAQ) sobre listas de certificados revogados (CRLs) e serviços de informações da Internet (IIS) 5.0.
Mais Informações
T1: o que é uma CRL (lista de certificados REVOGADOS) e o que é um CDP (ponto de distribuição de CRL)?

A1: A CRL é um arquivo que contém uma lista de certificados revogados, seus números de série e suas datas de revogação. Um arquivo CRL também contém o nome do emissor da CRL, a data efetiva e a próxima data de atualização. Por padrão, o menor período de validade de uma CRL é uma hora.

Um CDP é o local onde você pode baixar a CRL mais recente. Um CDP normalmente é listado no campo Pontos de distribuição da CRL da guia detalhes do certificado. É comum para listar vários CDPs que usam métodos diferentes de acesso para garantir que os programas, como navegadores da Web e servidores Web, sempre podem obter a CRL mais recente.

A seguir estão exemplos de entradas CDP:
[1]CRL Distribution Point            Distribution Point Name:Full Name:URL=ldap:///CN=SecTestCA1,CN=SECTESTCA1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=rte,DC=microsoft,DC=com?certificateRevocationList?base?objectclass=cRLDistributionPoint[2]CRL Distribution Point            Distribution Point Name:Full Name:URL=http://sectestca1.rte.microsoft.com/CertEnroll/SecTestCA1.crl[3]CRL Distribution Point            Distribution Point Name:Full Name:URL=file://\\sectestca1.rte.microsoft.com\CertEnroll\SecTestCA1.crl
Q2: ao IIS 5.0 recuperar uma lista?

A2: Cada CRL tem uma data efetiva. A data de efetivação também é conhecida como "atualização próxima" ou "período de validade". IIS 5.0 recupera uma lista somente se uma das seguintes condições for verdadeira:
  • A CRL do certificado não está contida no cache do IIS 5.0.
  • A data de efetiva da CRL no cache do IIS 5.0 passou.
T3: se o certificado contiver vários pontos de distribuição da CRL, o IIS 5.0 recuperar a CRL de cada local?

A3: não. Somente o local do primeiro ou superior, é usado. Se sem êxito, o IIS 5.0 tenta no próximo ponto de distribuição da CRL.

Q4: tem o conteúdo de cada CRL em cada ponto de distribuição de CRL baixado e combinado?

A4: não. Somente uma CRL é baixada.

Q5: são armazenadas no computador que esteja executando o IIS 5.0 CRLs?

A5: Sim. No entanto, as conseqüências que resultam da manipulação da CRL não há suporte para pelo Atendimento Microsoft. Q6: como as CRLs são identificadas? Ou seja, que extensão arquivos CRL usar?

A6: CRLs use uma extensão .CRL. Por exemplo, .CRL CRL FileName [1].

Observação FileName é listado no ponto de distribuição da CRL no certificado.

Q7: o que ocorre se o IIS 5.0 não é possível encontrar um das CRLs?

A7: Por padrão, o IIS 5.0 falhará se a CRL de um certificado não pode ser acessada. Portanto, vários caminhos e protocolos são usados para no mesmo ponto de distribuição da CRL. Por exemplo, os seguintes protocolos e os caminhos são usados na URL de um ponto de distribuição da CRL:
  • HTTP
  • Protocolo LDAP (LDAP)
  • Arquivo
Q8: que mensagem de erro aparece no navegador da Web se uma CRL eficaz não pode ser obtida? É a mesma mensagem de erro exibida se a CRL é obtida e se o certificado foi revogado?

A8: Sim, você receber a mesma mensagem de erro em ambos os cenários. Você receber a seguinte mensagem de erro:
HTTP 403.13 Proibido: O certificado de cliente revogado

A página requer um certificado de cliente válido

Q9: você enfrentar um dos seguintes sintomas:
  • você tornar a CRL não disponível. No entanto, IIS não recupera uma nova CRL e não aparece para a falha.
  • revogar um certificado e republicar a CRL. No entanto, o IIS 5.0 ainda permite aos usuários localizar um site usando o certificado revogado.
A9: Ambos esses cenários estão relacionados ao mesmo problema. IIS 5.0 ainda usa uma CRL em cache que não passou sua data de efetivação. Para obter mais informações, consulte "Q2: ao IIS 5.0 recuperar uma lista? ”.

Q10: É possível forçar a CRL em cache para atualizar?

A10: Você não pode forçar a CRL em cache para atualizar. A CRL tem uma data de expiração. Quando a CR expira, a CRL é renovada.

Todos os certificados são armazenados no cache quando os certificados são selecionados de um armazenamento ou de um URL. A única diferença é o local onde os certificados em cache são armazenados. Certificados podem ser armazenados em locais a seguir:
  • Memória

    Todos os certificados recuperados são armazenados em cache na memória.
  • Armazenamento de autoridade de certificação

    Armazenam todos os certificados que são recuperados de quaisquer URLs com suporte WinInet, como HTTP, FTP, LDAP e FILE usando a extensão AIA (acesso de informações da autoridade) são armazenados em cache na CA.
  • Sistema de arquivos local

    Se a URL de recuperação for ldap: / /, ftp: / /, ou http://, o certificado ou CRL é também armazenadas em cache pelo WinInet no sistema de arquivos local. O cache é armazenado em Documents and Settings\ pasta do UserName Settings\Temporary Internet Files.
Para obter informações adicionais sobre certificados e sobre armazenamento em cache, visite o seguinte site:
Mais Informações
Q12 : pode IIS 5.0 fazer verificação de CRL de "tempo real"?

A12 : não. IIS 5.0 usa a CRL em cache até que a CRL expira. O menor período de validade de uma CRL é publicado por serviços de certificados Microsoft é uma hora. Você pode excluir a CRL do cache para forçar a recuperação de uma nova lista. No entanto, a nova CRL ainda tem o mesmo período de validade.
Referências
Para obter mais informações sobre Internet X.509 Public Key Infrastructure Certificate and CRL perfil, visite o seguinte site da Internet Engineering Task Force (IETF):

Solicitação de comentários (RFC) 2459
Revogação CRL

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 289749 - Última Revisão: 11/21/2006 05:25:27 - Revisão: 8.1

Microsoft Internet Information Services 5.0

  • kbmt kbtshoot kbfaq kbinfo KB289749 KbMtpt
Comentários