问题标签 [certificate-revocation]

在我的情况下，用户需要能够在禁止 Internet 访问的网络环境中使用 Adob​​e Reader DC离线验证PDF 文件。此外，通过嵌入撤销信息并使用文档时间戳保护它们，还可以实现长期存档。

我发现 Adob​​e Acrobat/Reader DC 将在创建后很好地验证所有带有嵌入式 OCSP 响应的签名。但是，在 2 小时内验证嵌入在签名中的时间戳 FAIL，因为 Adob​​e 想要下载由于缺乏 Internet 访问而显然无法下载的撤销数据。我还注意到 Adob​​e 总是根据“当前时间”验证签名时间戳，而文档时间戳是根据自己的时间戳时间验证的。

所以问题是：为什么 Adob​​e 不接受几个小时前的撤销信息？难道是因为签名时间戳总是根据当前时间进行验证，Adobe认为OCSP响应太旧（当前时间在OCSP响应中指示的NextUpdate时间之后）并尝试获取新的？

如果是这种情况，那么我还有两个问题：

1. 如果 Adob​​e 总是想要当前的撤销，为什么我们需要在创建 LTA 签名时嵌入签名嵌入时间戳的撤销数据？
2. 如果嵌入的时间戳总是需要重新下载吊销信息，如何生成可以离线验证的 PDF 文档？

我在 CryptoAPI 的证书链验证方面遇到问题，特别是在吊销检查方面。问题是我在 Windows CE 下工作（没有互联网访问权限），而 CryptoAPI 不会为它导出 CRL API。

https://msdn.microsoft.com/en-us/library/ms936955.aspx

我做了一些研究，似乎CertGetCertificateChain()确实进行了撤销检查，但在幕后。

我已经用OpenSSL自签名Root CA和Intermediate CA（用根 CA 签名）创建了，最后我用 签署了一个结束证书Intermediate CA，其中包含crlDistributionPoints指向以格式Intermediate CA编码的 CRL的扩展名。PEM为简洁起见，我们将其命名为intermediate.crl.pem。

所以，intermediate.crl.pem在我的磁盘上是持久的，在我的openssl.cnf我链接它是这样的：

我不确定这是否正确，但我也不确定 CryptoAPI 是否期望某些不同的格式（例如 DER 而不是 PEM）。

最后撤销检查不正确。无论证书是否在 CRL 中，我总是收到证书被吊销的错误。

你能在这里给我一些指导吗？重要的是intermediate.crl.pem不能通过网络获取（它必须抵抗文件系统）。

另外，我注意到 Windows CE 支持一个名为DisallowedCryptoAPI 的链引擎在验证期间检查的证书存储，如果正在验证的证书在其中，则返回错误（说证书无效）。

使用这家商店而不是 CRL 是更好的方法吗？

我正在尝试为使用 OpenSSL 在 Linux 上运行的嵌入式系统编写证书管理应用程序。我能够使用自己的证书存储实现证书验证。我被困在生成自己的证书吊销列表并将证书添加到该证书吊销列表中。

这是我验证证书的方式

任何人都可以帮助我使用 C 创建 CRL 文件并向其添加证书吗？

我正在使用 OpenSSL 创建一个第 3 方应用程序，以便为嵌入式系统创建一个新的证书吊销列表。这是我的代码

当我运行它时，它会创建一个 CRL 文件，当我尝试使用 openssl 命令读取它时，它无法加载

但是当我在我的 32 位 linux PC 上编译和运行相同的代码并尝试打开创建的 crl 文件时，它可以工作

然后将使用我的PC创建的crl文件复制到嵌入式文件系统并尝试在那里打开它，它工作正常。并将嵌入式系统创建的crl复制到PC上尝试打开，失败。有人可以帮我解决这个问题吗？

吊销过期的证书是个好方法吗？

过期的证书被视为无效证书，但可以撤销它。由于可以撤销它，它应该是 CA 的有效方法。

CA 不考虑它是否被撤销以及它如何影响证书的使用方式。

设置这些属性真的足以启用 OCSP 吗？

如果是这样，那为什么我们需要充气城堡 OCSP 支持而不是仅仅设置这个属性呢？

我正在使用 TFS 2015，我为我的测试环境创建了一个发布定义。添加了“目标机器上的 PowerShell”任务。这些值都已正确输入，例如机器、管理员登录、密码。HTTPS 是协议，选中测试证书复选框。WinRM 侦听器已在远程服务器上设置并正常工作。当我运行此任务时，它显示为已拒绝。

错误如下：

[错误]连接到远程服务器 myserver.example.com 失败并显示以下错误消息：目标计算机 (myserver.example.com:5986) 上的服务器证书有以下错误：

[错误]无法检查 SSL 证书是否吊销。用于检查吊销的服务器可能无法访问。有关详细信息，请参阅 about_Remote_Troubleshooting 帮助主题。

我使用的 TFS 代理没有 Internet 功能。我从另一个具有 Internet 功能的 TFS 代理尝试了这个并且它有效。

有谁知道 TFS 代理是否必须具有互联网功能？有没有办法从用户界面跳过吊销检查？

How to set default CRL path in java. As now for certificates not containing CRL distribution point I get this:

I've tried the combinations of com.sun.security.enableCRLDP and com.sun.net.ssl.checkRevocation with certificates containing CRLDP and not containing it. The conclusion is that when you set the above mentioned properties but you have certificate which doesn't contain CRLDP you get an exception, that' s not the behavior I want for my current system.

我已连接到 MS PKI 证书吊销列表分发点并获得了 CRL

在不使用第三方库的情况下从 CRL 中提取序列号列表的最直接方法是什么？