解决企业子CA无法检查吊销的问题

解决企业子CA无法检查吊销的问题

作者：兰晓宇

【引言】

“大数据”时代的到来已经势不可挡。在海量的数据面前，已经有越来越多的人意识到大数带来的挑战。其中非常重要的一项挑战就是信息的安全。在这样的背景下，加密技术得到了非常广泛的应用，而证书，作用加密技术中密钥传递的载体，也已被广泛。

对于较大型的企业，单一的证书颁发机构（后简称CA）已不能满足业务和管理的需求，在部署层级CA的过程中，很多管理员会遇到子CA的服务无法启动的情况，本文将带你探索原因并解决问题。

【正文】

1.           设计离线根CA

根CA的CA证书为自签名，在证书的信任链中，处于顶端，保护根CA的安全对整个证书的结构非常重要。为此，我们可以用工作组服务器部署离线根CA。

离线的根CA，并不直接面向证书申请者，而仅仅是为子CA颁发CA证书。也不需要与企业的网络环境相连，申请证书时，用移动存储设备将子CA的申请文件复制到根CA即可。之所以要用工作组状态的计算机，是因为域内的计算机脱离域环境60天后，安全通道会过期，即信任关系失效。

2.           部署企业子CA

在按照正常的方式部署完成企业子CA，申请并安装完证书后，很多管理员会遇到如下的报错，并无法启用子CA：

出现这一错误，是因为我们的根CA是处于工作组状态，并不能成功发布吊销列表。由于我们的根CA仅仅是为子CA颁发CA证书，所以其吊销列表意义并不大，我们可以通过一行命令，关闭子CA验证吊销列表这一动作。命令如下：

certutil.exe -setregca\CRLFLags +CRLF_REVCHECK_IGNORE_OFFLINE

再次启用子CA，即可成功开启：

如果要再次开启验证吊销服务器，可以将+变成-：

certutil.exe -setreg ca\CRLFLags -CRLF_REVCHECK_IGNORE_OFFLINE

3.           刨根问底

其实问题至此，已经解决了。但本着刨根问底的劲头，我们再来深入挖掘一下。因为有些管理在部署层级CA的时候，并没有遇到这个问题。

那是因为，这部分管理员部署的根CA并不是工作组状态的，而是域内的成员计算机。为此，我们来看一下，成员计算机默认情况下的吊销列表发布信息：CA管理控制台-右键点击CA服务器-选择属性-点击扩展标签。

在这一标签中，我们可以看到默认情况下，吊销列表会发布到AD的配置分区下面。

接下来我们按照这个路径，利用ADSI编辑器查看一下已发布的吊销列表：

这就是为什么当根CA是成员计算机时，并无报错，但是当根CA是工作组计算机时，便无法开启的根本原因……