解決企業子CA沒法檢查吊銷的問題

解決企業子CA沒法檢查吊銷的問題

做者：蘭曉宇

【引言】

「大數據」時代的到來已經勢不可擋。在海量的數據面前，已經有愈來愈多的人意識到大數帶來的挑戰。其中很是重要的一項挑戰就是信息的安全。在這樣的背景下，加密技術獲得了很是普遍的應用，而證書，做用加密技術中密鑰傳遞的載體，也已被普遍。

對於較大型的企業，單一的證書頒發機構（後簡稱CA）已不能知足業務和管理的需求，在部署層級CA的過程當中，不少管理員會遇到子CA的服務沒法啓動的狀況，本文將帶你探索緣由並解決問題。

【正文】

1.           設計離線根CA

根CA的CA證書爲自簽名，在證書的信任鏈中，處於頂端，保護根CA的安全對整個證書的結構很是重要。爲此，咱們能夠用工做組服務器部署離線根CA。

離線的根CA，並不直接面向證書申請者，而僅僅是爲子CA頒發CA證書。也不須要與企業的網絡環境相連，申請證書時，用移動存儲設備將子CA的申請文件複製到根CA便可。之因此要用工做組狀態的計算機，是由於域內的計算機脫離域環境60天后，安全通道會過時，即信任關係失效。

2.           部署企業子CA

在按照正常的方式部署完成企業子CA，申請並安裝完證書後，不少管理員會遇到以下的報錯，並沒有法啓用子CA：

                           

 

出現這一錯誤，是由於咱們的根CA是處於工做組狀態，並不能成功發佈吊銷列表。因爲咱們的根CA僅僅是爲子CA頒發CA證書，因此其吊銷列表意義並不大，咱們能夠經過一行命令，關閉子CA驗證吊銷列表這一動做。命令以下：

certutil.exe -setregca\CRLFLags +CRLF_REVCHECK_IGNORE_OFFLINE

再次啓用子CA，便可成功開啓：

若是要再次開啓驗證吊銷服務器，能夠將+變成-：

certutil.exe -setreg ca\CRLFLags -CRLF_REVCHECK_IGNORE_OFFLINE

3.           刨根問底

其實問題至此，已經解決了。但本着刨根問底的勁頭，咱們再來深刻挖掘一下。由於有些管理在部署層級CA的時候，並無遇到這個問題。

那是由於，這部分管理員部署的根CA並非工做組狀態的，而是域內的成員計算機。爲此，咱們來看一下，成員計算機默認狀況下的吊銷列表發佈信息：CA管理控制檯-右鍵點擊CA服務器-選擇屬性-點擊擴展標籤。

在這一標籤中，咱們能夠看到默認狀況下，吊銷列表會發布到AD的配置分區下面。

接下來咱們按照這個路徑，利用ADSI編輯器查看一下已發佈的吊銷列表：

這就是爲何當根CA是成員計算機時，並沒有報錯，可是當根CA是工做組計算機時，便沒法開啓的根本緣由……