Správičky 2 174 Blogy 553 Fórum 13 339

validacia certu

photo
ian
13. 3. 2010 15:19:24
Body: 2345
Najaktívnejší č.: 12

validacia certu

Natrafil som na problem, ktory som ani po hodine googlenie neporiesil. Na windows server 2003 ma vlastnu CA. Vytvorim klientsky cert. Otestujem ho, je validny. Tak ho skusim revoknut cez certification authority, cert je medzi revokovanymi. Znova ho validujem, aplikacia mi hlasi cert ako validny, cize dobry.

Tak cert, dam prec. Vytvorim druhy. Revoknem ho cez certutil -revoke SN, otestujem ho na  ci je validny cez cerutil -isvalid SN. Cert sa ohlasi ze je revokavany.

Otestujem ho v aplikacii ci je validny, aplikacia mi ho oznaci ako dobry. Vobec tomu nerozumie. Da sa nejak programovo nacitat CLR , aby som vedel voci akemu revocation listu to .NET kontroluje?
Nakolko certutil mi ho oznaci ako revokavany, aplikacia ako validny? Myslim si, ze CLR by mal byt len jeden.

Na otestovanie certu pouzivam nasledovne metody.

X509Certificate2.Verify Method

Alebo
private bool VefiryCert(X509Certificate2 cert)
        {
            ServicePointManager.CheckCertificateRevocationList = true;

            bool chainIsValid = false;

            var chain = new X509Chain();

            chain.ChainPolicy.RevocationFlag = X509RevocationFlag.EntireChain;

            chain.ChainPolicy.RevocationMode = X509RevocationMode.Online;

            chain.ChainPolicy.UrlRetrievalTimeout = new TimeSpan(0, 1, 0);

            chain.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag;

            chainIsValid = chain.Build(cert);

            return chainIsValid;
        }

Machines should work; People should think.

[Reakcia]
photo
T
13. 3. 2010 18:19:14
Body: 15925
Najaktívnejší č.: 2

RE: validacia certu

@ian: na aky cas mas nastavene publikovanie revocation listu v cert services? Mari sa mi, ze default je nastaveny na den alebo tyzden.

http://technet.microsoft.com/en-us/library/cc781735%28WS.10%29.aspx

mozno certutil robi check inak, nie cez publikovany CRL. Ale je to len napad, skus overit.

Tomáš Zeman, MCSD.NET

[Reakcia]
photo
ian
13. 3. 2010 22:27:58
Body: 2345
Najaktívnejší č.: 12

RE: validacia certu

velmi pekne dakujem Tomas, to ma vobec nenapadlo,  ta publikacia CLR bola nastavena raz tyzdene ...som pozeral na to ako vyorana mys ,ked certutil hlasi ze je revokovany, aplikacia usera pod tym certom hlasila ze je good

Machines should work; People should think.

[Reakcia]
photo
T
13. 3. 2010 23:52:57
Body: 15925
Najaktívnejší č.: 2

RE: validacia certu

@ian: som rad, ze pomohlo ;-)

Tomáš Zeman, MCSD.NET

[Reakcia]


Najaktívnejší užívatelia
1. 34425 b. photo vlko
2. 15925 b. photo T
3. 15330 b. photo spigi
4. 5885 b. photo dudok
5. 5510 b. photo slavof
6. 4935 b. photo siro
7. 4715 b. photo duracellko
8. 3625 b. photo jakub
9. 3490 b. photo lubolacko
10. 3340 b. photo skippo