Kie*_*lly 5 windows-xp openssl pki ssl-certificate certificate-authority
我使用 openssl 创建了一个自签名根 CA 证书供内部测试使用。它已在许多机器和平台(Windows、Linux、各种 Java/.NET/浏览器客户端)上成功安装并用作受信任的 CA,没有出现任何问题。
一名用户(运行 WinXP SP3 / IE8)在尝试将 CA 证书导入其受信任的根存储时收到以下错误:“此证书已被其证书颁发机构吊销”
CA 确实引用了我自己创建的 CRL,但它是空的。用户可以手动访问并查看 CRL 并确认其为空。CRL 检查在 IE 中被禁用,但我猜想在填充证书存储时此设置可能不适用。
有什么可以解释这一点呢?来自不同 CA 但具有相同指纹的已撤销证书是否有任何方法可能导致我的 CA 证书被标记为已撤销?
虽然这个帖子很老了,但我已经有了答案。当自签名证书放置在不受信任的证书存储中时,可以在 Windows 上吊销该证书。
关于 CRL:即使存在,Microsoft CryptoAPI 客户端默认也会忽略自签名证书中的 CDP,并仅检查非根证书是否已吊销。