Sospecho que mi configuración de revocación de CRL del servidor de certificados de Windows 20012 es incorrecta cada vez que genero una nueva CRL o una nueva Delta, solo se generan un máximo de 3 archivos.
-
Cuando creé la raíz sin conexión (en la imagen de abajo), generó el archivo ''
-
Cuando la raíz sin conexión creó su primer certificado, firmó con el nombre
Root01+.crt
Volcado parcial de certificado de lo que la raíz agregó a mi archivo de solicitud de certificado de la sub (política) CA:
2 Authority Info Access
Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
Alternative Name:
URL=http://classic.freesmime.com/Root01/Root01_.crt
Luego miré el sistema de archivos y noté que el intermedio hacía referencia a un certificado que nunca se creó. Así que fui a la CA raíz, hice clic en el nodo que decía "certificados revocados" y presioné publicar.
Luego tuve la opción de crear un nuevo archivo CRL o crear un delta. No estaba seguro de cuál hacer, así que hice ambas (este es un laboratorio de pruebas). Noté que se generaron los siguientes archivos:
ROOT01+.crl (updated for Delta and new CRL)
ROOT01.crl (Updated only for new CRL)
ROOT01_.crl (Never updated ... only created when CA installed)
Pregunta
-
Entonces, mi pregunta es ... ¿es correcto que una CA dada tenga un máximo de 3 CRL con un sufijo variable como se indica arriba?
-
¿Es correcto que un nombre de subrayado nunca se actualice?
Para aquellos que han leído hasta aquí, aquí hay una imagen de mi configuración de CRL dentro de una CA sin conexión de MSFT:
Lo siento por el gran tamaño, estoy usando una Mac y creo que algo está haciendo que las imágenes parezcan demasiado grandes