1. Accueil
  2. Question et réponse
  3. Révoquer le certificat client X509

Révoquer le certificat client X509

2010-03-12 8 views
1

J'ai un service Web ASP.NET sur Windows Server 2003. J'ai une autorité de certification. J'utilise un propre certificat client sur l'authentification dans le service Web. Je fais un certificat client. J'appelle le service web, tout va bien. Ensuite, je révoque ce certificat dans l'autorité de certification. Le certificat est dans le certificat révoqué. J'appelle le service Web avec ce certificat, mais le service Web vérifie ce certificat, mais ce certificat est révoqué. Je ne sais pas pourquoi? Quelqu'un m'aider s'il vous plaît? J'utilise cette méthode sur un certificat de vérification.Révoquer le certificat client X509

X509Certificate2.Verify Méthode

Je ne suis pas une exception, le certificat est révoqué entre, mais le service Web de vérifier ce certificat aussi bon.

à klausbyskov: Merci. J'essaie donc ceci:

public void CreateUser(X509Certificate2 cert) 
    { 

     ServicePointManager.UseNagleAlgorithm = true; 
     ServicePointManager.Expect100Continue = true; 
     ServicePointManager.CheckCertificateRevocationList = true; 
     ServicePointManager.DefaultConnectionLimit = ServicePointManager.DefaultPersistentConnectionLimit; 

     if (VefiryCert(cert)) 
     { 
      //... 
     } 
    }

Mais le certificat révoqué est vérifie toujours aussi bon

Source

2010-03-12 Tom

Répondre

0

Définissez la propriété CheckCertificateRevocationList de la classe ServicePointManager à true avant d'appeler Verify().

Source

2010-03-12 16:15:41

0

Essayez le mettre en application le fichier de configuration:

Peut-être qui aide ..

Source

2014-01-31 13:00:46 Kr15

0

La validation se fonde sur divers facteurs. Le certificat comporte-t-il des extensions CDP (Certificate Revocation List Distribution Point) et la LCR est-elle accessible? (https://tools.ietf.org/html/rfc5280#section-4.2.1.13)

REMARQUE: les listes CRL sont mises en cache!

La seule façon de vérifier la validité sans presque aucun délai serait de demander à l'autorité de certification elle-même. Mais je ne considérerais pas cela comme une option.

Pour ce que vous tentez d'obtenir, le protocole de répondeur en ligne a été introduit (http://www.ietf.org/rfc/rfc2560.txt). Le certificat comporte-t-il une extension ASP OCSP et un répondeur OCSP a-t-il été configuré?

Quels sont les déclencheurs/intervalles de OCSP (car ses données sont également une liste CRL)?

Source

2015-01-25 12:18:28

Questions connexes

 Questions connexes