Question SonicWall et Windows CA


J'essaie d'importer un certificat créé par une autorité de certification que j'ai configurée dans Windows à l'aide d'AD CS. J'ai fait ce qui suit:

1) Créé mon propre CA (MyCompany)
2) Services Web activés (principalement pour faciliter la configuration)
3) a généré une demande de certificat sur le Sonicwall lui-même
4) Services Web utilisés pour signer le certificat
5) Importation du certificat de signature dans Sonicwall ... le certificat a alors été déclaré "Non" pour le champ Vérifié.
6) Importé le certificat de l'autorité de certification.

C'est là que je reste coincé. J'ai tenté d'importer la liste de révocation de certificats mais j'obtiens le message d'erreur suivant: CRL Error - Verification failed using CA certificate. Aucune autre erreur n'apparaît dans les journaux. Sans la liste de révocation de certificats, le certificat ne sera pas vérifié et il n'apparaît pas dans la page "Administration", ce qui me permet de le sélectionner pour une utilisation via HTTPS.

Des idées?

Edit: à partir de Sonicwall lorsque j'essaie d'utiliser ma liste publiée HTTP:

07/02/2013 14:33:54.256 Alert   VPN PKI Cannot Validate Issuer Path         HTTPS        
19  07/02/2013 14:33:54.256 Alert   VPN PKI CRL validation failure for Root Certificate         MyCompanyCA      
20  07/02/2013 14:33:54.256 Alert   VPN PKI Failed to Process CRL from           http://crl.mydomain.com/Cert
Enroll/ CA: MyCompanyCA

5
2017-07-02 16:45


origine


Pourquoi ne pas rendre une liste de révocation de certificats disponible? Tu devrais l'avoir quand même - MDMarra
D'accord. Vous devez ajouter un point de distribution HTTP CRL à vos certificats, en plus du point LDAP. - Ryan Ries
@RyanRies J'en ai ajouté un, mais il n'a pas encore été traité. - Nathan C
@NathanC l'avez-vous fait exactement comme ça? blogs.technet.com/b/mspfe/archive/2013/04/24/…  :) - Ryan Ries
@RyanRies Oui. Changé le chemin - toujours le même problème. Mise à jour de ma question avec de nouvelles erreurs. - Nathan C


Réponses:


Donc, après être revenu à cela avec une toute nouvelle CA, il semble qu’il y ait en fait une punaise avec SonicOS 5.8 qui provoque ce problème. Mon certificat de CA est SHA512 et SonicOS ne prend en charge que SHA1. Malheureusement, je ne peux pas encore passer à la version 5.9 (ce qui résout le problème). Si cela aide quelqu'un d'autre, génial.


4
2018-02-07 20:40





Eh bien, faisant des suppositions sauvages, faisons ceci:

  • Commençons par la chose stupide: êtes-vous sûr d'importer le bon fichier?! :)

  • Le DNS est-il correct? Sonicwall peut-il résoudre avec succès le fichier crl.mydomain.com?

  • Le temps est-il correct? assurez-vous que vous avez un serveur ntp configuré des deux côtés, généralement la gestion des certificats nécessite une heure correcte.

  • Est-ce que l'URL crl télécharge vraiment quelque chose?

  • Pouvez-vous voir les journaux Windows CA pour confirmer que le fichier est téléchargé? ou mieux encore, chargez un renifleur (du type de connexion wirehark) dans Windows CA et vérifiez si vous recevez une demande, sur quel port vous recevez la demande et ce que vous répondez. Si vous n’obtenez rien, vérifiez le pare-feu, les problèmes de routage, etc.

Si vous recevez une demande et que vous répondez avec succès avec des informations valides, il s’agit probablement d’un problème de sonicwall.

Si tout échoue, ouvrez une demande de service à SonicWall, ils devraient vous aider à résoudre le problème.


0
2017-07-15 19:51



Bizarrement, aucune demande n'est faite à l'autorité de certification. Je peux cependant cingler le CA et je peux utiliser certutil pour valider la liste de révocation de certificats à partir de ma propre machine locale. Les deux sont sur le même sous-réseau aussi. C'est vraiment étrange. Wireshark sera probablement ma seule chance dans ce cas. - Nathan C