none
Aus der MSDN-Hotline: RFC5280 und die Liste der CRL Distribution Points RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    1
    Anmelden
    Hallo zusammen,
    heute wurde uns bei der MSDN Hotline unter anderem folgende Frage gestellt:

    Ich habe eine Frage zu CRL distribution points. Mein Zertifikat hat mehrere Adressen für den selben Distribution Point. Müssen davon alle öffentlich erreichbar sein?

    Unsere Antwort bzw. unser Lösungsvorschlag darauf war:

    Nein. Die Einträge bei den Distribution Points sind in keiner bestimmten Reihenfolge eingetragen und dürfen sogar lokale Adressen (HTTP, FTP oder LDAP) enthalten. Wenn Sie Ihre Zertifikate im Internet ausgeliefern, dann werden diese lokalen Adressen notwendigerweise nicht erreichbar sein. Der Teilnehmer kann und darf also gar keine Annahmen über die Erreichbarkeit einzelner Einträge treffen. Wenn die Extension für CRL Distribution Point-Listen als Non-Critical markiert ist, dann genügt es, wenn einer der genannten Distribution Points erreichbar ist.

    Man muss allerdings darauf achten, dass die vom Distribution Point bereitgestellte Liste auch korrekt ist. Beispielsweise muss der Issuing Distribution Point (IDP) mindestens einen der Namen der Distribution Point-Liste des Zertifikats enthalten. Die IDP ist immer critical. Das bedeutet: Wenn eine ungültige Liste ausgeliefert wird, muss der Teilnehmer (bspw. der Remote Desktop Client oder Ihre eigene Anwendung) die Verbindung abbrechen. Das passiert dann beispielsweise mit der Fehlermeldung: "Die Verbindung wurde beendet, da ein unerwartetes Serverzertifikat vom Remotecomputer empfangen wurde".

    Wir hoffen, vielen Besuchern der MSDN Foren durch das Posten dieses Problems und einer möglichen Lösung weiterhelfen zu können.

    Viele Grüße
    Jonathan Best
    MSDN Hotline für MSDN Online Deutschland

    Disclaimer:
    Bitte haben Sie Verständnis dafür, dass wir hier auf Rückfragen gar nicht oder nur sehr zeitverzögert antworten können.
    Bitte nutzen Sie für Rückfragen oder neue Fragen den telefonischen Weg über die MSDN Hotline: http://www.msdn-online.de/Hotline
    MSDN Hotline: Schnelle & kompetente Hilfe für Entwickler: kostenfrei!

    Es gelten für die MSDN Hotline und dieses Posting diese Nutzungsbedingungen, Hinweise zu MarkenzeichenInformationen zur Datensicherheit sowie die gesonderten Nutzungsbedingungen für die MSDN Hotline.


    • Bearbeitet Jonny Best Freitag, 20. Juli 2012 14:27 HTML-Fragmente im Text
    Freitag, 20. Juli 2012 14:27
    |