Question

У меня есть веб-сервис ASP.NET на Windows Server 2003. У меня есть собственный центр сертификации. Я использую собственный клиентский сертификат на аутентификацию в веб-сервисе. Я делаю сертификат клиента. Звоню в веб сервис, все ок. Затем я аннулирую этот сертификат в центре сертификации. Сертификат находится в отозванном сертификате. Я вызываю веб-службу с этим сертификатом, но веб-служба проверяет этот сертификат как хороший, но этот сертификат между аннулирован. Не знаю почему? Кто-нибудь, помогите мне, пожалуйста?

Я использую этот метод при проверке сертификата.

X509Certificate2.Verify Method

Я не получаю никаких исключений, сертификат находится между аннулированными, но веб-служба проверяет этот сертификат как хороший.

до клаусбысков: Спасибо. Итак, я пытаюсь это:

    public void CreateUser(X509Certificate2 cert)
    {

        ServicePointManager.UseNagleAlgorithm = true;
        ServicePointManager.Expect100Continue = true;
        ServicePointManager.CheckCertificateRevocationList = true;
        ServicePointManager.DefaultConnectionLimit =    ServicePointManager.DefaultPersistentConnectionLimit;

        if (VefiryCert(cert))
        {
          //...
        }
   }

Но отозванный сертификат по-прежнему считается хорошим

Kr15 · Answer 1 · 31 января 2014

Попробуйте установить его в конфигурационном файле приложения:

Может быть, это помогает ..

Daniel Fisher lennybacon · Answer 2 · 25 января 2015

Проверка основана на различных факторах.

Есть ли у сертификата расширения точки распространения списка отзыва сертификатов (CDP) и доступен ли CRL? (https://tools.ietf.org/html/rfc5280#section-4.2.1.13)

ПРИМЕЧАНИЕ. CRL кэшируются!

Единственный способ проверить достоверность без каких-либо задержек - это задать сам центр сертификации. Но я бы не стал рассматривать это как вариант.

Для того, что вы пытаетесь достичь, был введен протокол сетевого ответчика (http://www.ietf.org/rfc/rfc2560.txt).

Имеет ли сертификат расширение AIA OCSP, и настроен ли у вас ответчик OCSP? Каковы триггеры / интервалы OCSP (поскольку его данные также являются CRL)?

Klaus Byskov Pedersen · Answer 3 · 12 марта 2010

Попробуйте установить для свойства CheckCertificateRevocationList класса ServicePointManager значение true перед вызовом Verify().

Отзыв сертификата клиента X509

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Отзыв сертификата клиента X509

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы