解决企业子CA没法检查吊销的问题

解决企业子CA没法检查吊销的问题

做者：兰晓宇

【引言】

“大数据”时代的到来已经势不可挡。在海量的数据面前，已经有愈来愈多的人意识到大数带来的挑战。其中很是重要的一项挑战就是信息的安全。在这样的背景下，加密技术获得了很是普遍的应用，而证书，做用加密技术中密钥传递的载体，也已被普遍。

对于较大型的企业，单一的证书颁发机构（后简称CA）已不能知足业务和管理的需求，在部署层级CA的过程当中，不少管理员会遇到子CA的服务没法启动的状况，本文将带你探索缘由并解决问题。

【正文】

1.           设计离线根CA

根CA的CA证书为自签名，在证书的信任链中，处于顶端，保护根CA的安全对整个证书的结构很是重要。为此，咱们能够用工做组服务器部署离线根CA。

离线的根CA，并不直接面向证书申请者，而仅仅是为子CA颁发CA证书。也不须要与企业的网络环境相连，申请证书时，用移动存储设备将子CA的申请文件复制到根CA便可。之因此要用工做组状态的计算机，是由于域内的计算机脱离域环境60天后，安全通道会过时，即信任关系失效。

2.           部署企业子CA

在按照正常的方式部署完成企业子CA，申请并安装完证书后，不少管理员会遇到以下的报错，并没有法启用子CA：

                           

 

出现这一错误，是由于咱们的根CA是处于工做组状态，并不能成功发布吊销列表。因为咱们的根CA仅仅是为子CA颁发CA证书，因此其吊销列表意义并不大，咱们能够经过一行命令，关闭子CA验证吊销列表这一动做。命令以下：

certutil.exe -setregca\CRLFLags +CRLF_REVCHECK_IGNORE_OFFLINE

再次启用子CA，便可成功开启：

若是要再次开启验证吊销服务器，能够将+变成-：

certutil.exe -setreg ca\CRLFLags -CRLF_REVCHECK_IGNORE_OFFLINE

3.           刨根问底

其实问题至此，已经解决了。但本着刨根问底的劲头，咱们再来深刻挖掘一下。由于有些管理在部署层级CA的时候，并无遇到这个问题。

那是由于，这部分管理员部署的根CA并非工做组状态的，而是域内的成员计算机。为此，咱们来看一下，成员计算机默认状况下的吊销列表发布信息：CA管理控制台-右键点击CA服务器-选择属性-点击扩展标签。

在这一标签中，咱们能够看到默认状况下，吊销列表会发布到AD的配置分区下面。

接下来咱们按照这个路径，利用ADSI编辑器查看一下已发布的吊销列表：

这就是为何当根CA是成员计算机时，并没有报错，可是当根CA是工做组计算机时，便没法开启的根本缘由……