2

我正在使用 certutil 来调试证书问题。

在我们所有的服务器上,除了一个之外,我可以使用以下命令成功检查任何证书:

certutil.exe -f -urlfetch -verifiy certificatefilename.cert

在我们的其中一台服务器上,此命令失败(对于任何证书),并出现如下错误:

 ----------------  Certificate AIA  ----------------
 Failed "AIA" Time: 0
   Error retrieving URL: Forbidden (403). 0x80190193 (-2145844845 HTTP_E_STATUS
FORBIDDEN)
   http://crt.comodoca.com/COMODORSAOrganizationValidationSecureServerCA.crt

 ----------------  Certificate CDP  ----------------
 Failed "CDP" Time: 0
   Error retrieving URL: Forbidden (403). 0x80190193 (-2145844845 HTTP_E_STATUS
FORBIDDEN)
   http://crl.comodoca.com/COMODORSAOrganizationValidationSecureServerCA.crl

 ----------------  Certificate OCSP  ----------------
 Failed "OCSP" Time: 0
   Error retrieving URL: Forbidden (403). 0x80190193 (-2145844845 HTTP_E_STATUS
FORBIDDEN)
   http://ocsp.comodoca.com

奇怪的是,当我通过浏览器(在同一台服务器上)访问这些 URL 时,文件下载没有问题(例如,可以毫无问题地下载以下证书吊销列表:http: //crl.comodoca.com/COMODORSAOrganizationValidationSecureServerCA.crl )

我检查了以下内容:

  • IP 设置在所有服务器上都具有可比性
  • 所有服务器上的代理设置都相同
  • 我在两台服务器上使用相同的用户帐户登录
  • 它发生在提升和非提升的命令提示符上

什么可能导致 403 错误?

4

1 回答 1

1

您还应该使用命令检查系统代理

netsh winhttp show proxy

certutil不使用 IE 代理,所以也许这会有所不同。

于 2017-09-14T06:35:30.650 回答