Správičky 2 276 Blogy 579 Fórum 14 090

validacia certu

photo
ian
13. 3. 2010 15:19:24
Body: 2370
Najaktívnejší č.: 12

validacia certu

Natrafil som na problem, ktory som ani po hodine googlenie neporiesil. Na windows server 2003 ma vlastnu CA. Vytvorim klientsky cert. Otestujem ho, je validny. Tak ho skusim revoknut cez certification authority, cert je medzi revokovanymi. Znova ho validujem, aplikacia mi hlasi cert ako validny, cize dobry.

Tak cert, dam prec. Vytvorim druhy. Revoknem ho cez certutil -revoke SN, otestujem ho na  ci je validny cez cerutil -isvalid SN. Cert sa ohlasi ze je revokavany.

Otestujem ho v aplikacii ci je validny, aplikacia mi ho oznaci ako dobry. Vobec tomu nerozumie. Da sa nejak programovo nacitat CLR , aby som vedel voci akemu revocation listu to .NET kontroluje?
Nakolko certutil mi ho oznaci ako revokavany, aplikacia ako validny? Myslim si, ze CLR by mal byt len jeden.

Na otestovanie certu pouzivam nasledovne metody.

X509Certificate2.Verify Method

Alebo
private bool VefiryCert(X509Certificate2 cert)
        {
            ServicePointManager.CheckCertificateRevocationList = true;

            bool chainIsValid = false;

            var chain = new X509Chain();

            chain.ChainPolicy.RevocationFlag = X509RevocationFlag.EntireChain;

            chain.ChainPolicy.RevocationMode = X509RevocationMode.Online;

            chain.ChainPolicy.UrlRetrievalTimeout = new TimeSpan(0, 1, 0);

            chain.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag;

            chainIsValid = chain.Build(cert);

            return chainIsValid;
        }

[Reakcia]
photo
T
13. 3. 2010 18:19:14
Body: 16750
Najaktívnejší č.: 2

RE: validacia certu

@ian: na aky cas mas nastavene publikovanie revocation listu v cert services? Mari sa mi, ze default je nastaveny na den alebo tyzden.

http://technet.microsoft.com/en-us/library/cc781735%28WS.10%29.aspx

mozno certutil robi check inak, nie cez publikovany CRL. Ale je to len napad, skus overit.

Tomáš Zeman, MCSD.NET, MCPD

[Reakcia]
photo
ian
13. 3. 2010 22:27:58
Body: 2370
Najaktívnejší č.: 12

RE: validacia certu

velmi pekne dakujem Tomas, to ma vobec nenapadlo,  ta publikacia CLR bola nastavena raz tyzdene ...som pozeral na to ako vyorana mys ,ked certutil hlasi ze je revokovany, aplikacia usera pod tym certom hlasila ze je good

[Reakcia]
photo
T
13. 3. 2010 23:52:57
Body: 16750
Najaktívnejší č.: 2

RE: validacia certu

@ian: som rad, ze pomohlo ;-)

Tomáš Zeman, MCSD.NET, MCPD

[Reakcia]


Najaktívnejší užívatelia
1. 35145 b. photo vlko
2. 16750 b. photo T
3. 15610 b. photo spigi
4. 6655 b. photo dudok
5. 5705 b. photo slavof
6. 5205 b. photo siro
7. 4745 b. photo duracellko
8. 3800 b. photo Liero
9. 3690 b. photo lubolacko
10. 3625 b. photo jakub