2010-03-12 2 views
1

У меня есть веб-сервис ASP.NET на сервере Windows 2003. У меня есть собственный центр сертификации. Я использую собственный сертификат клиента для аутентификации в веб-сервисе. Я делаю клиентский сертификат. Я звоню в веб-сервис, все в порядке. Затем я отменяю этот сертификат в центре сертификации. Сертификат находится в Отремонтированном сертификате. Я вызываю веб-службу с этим сертификатом, но веб-сервис проверяет этот сертификат как хороший, но этот сертификат отменяют. Я не знаю почему? Кто-нибудь мне помогает?Отменить клиентский сертификат X509

Этот метод используется для проверки сертификата.

X509Certificate2.Verify Метод

Я не получаю исключение, сертификат между аннулирован, но веб-сервис проверить этот сертификат, как хорошо.

to klausbyskov: Спасибо. Поэтому я стараюсь это:

public void CreateUser(X509Certificate2 cert) 
    { 

     ServicePointManager.UseNagleAlgorithm = true; 
     ServicePointManager.Expect100Continue = true; 
     ServicePointManager.CheckCertificateRevocationList = true; 
     ServicePointManager.DefaultConnectionLimit = ServicePointManager.DefaultPersistentConnectionLimit; 

     if (VefiryCert(cert)) 
     { 
      //... 
     } 
    } 

Но аннулированный сертификат еще проверить, как хорошо

ответ

0

Попробуйте установить CheckCertificateRevocationList свойство ServicePointManager класса true перед вызовом Verify().

0

Попробуйте установить его в конфигурационном файле приложения:

Может быть, что помогает ..

0

Проверка основана на различных факторов.

Имеет ли сертификат расширения расширения списка отзыва сертификатов (CDP) и доступен ли CRL? (https://tools.ietf.org/html/rfc5280#section-4.2.1.13)

ПРИМЕЧАНИЕ: CRLs кэшируются!

Единственный способ проверить действительность без каких-либо задержек - это просить сам СА. Но я бы не рассматривал это как вариант.

Для чего вы пытаетесь достичь протокола онлайн-ответа, был введен (http://www.ietf.org/rfc/rfc2560.txt).

Имеет ли сертификат расширение AIA OCSP и есть ли у вас ответчик OCSP? Каковы триггеры/интервалы OCSP (поскольку его данные также являются CRL)?