Explicación de la CRL, OCSP y Certificados Revocados

Normalmente, sólo los equipos de clientes deben comprobar si un certificado ha sido revocado por una autoridad certificadora para que puedan advertir a los usuarios que tal vez no deben de confiar en un servidor web o de correo electrónico o dispositivo que se conecta. En Microsoft Exchange 2010 se ha diseñado para comprobar esto para los administradores, por lo que no sería sin darse cuenta la configuración de Exchange para utilizar un certificado revocado SSL para enviar a los clientes cuando la comprobación de su correo electrónico. Para probar la configuración del servidor proxy actual (esto es muy útil para solucionar problemas de Exchange 2010 error: (The certificate status could not be determined because the revocation check failed) No se pudo determinar el estado del certificado, la comprobación de revocación falló

Esta es una muy buena idea, pero desafortunadamente no le permiten asignar un certificado SSL en la Consola de Administración de Exchange, sin que en primero lugar el servidor verifique que el certificado SSL no haya sido revocado por la autoridad de certificación (CA) que lo emitió. Esto causa problemas si un certificado es válido (que no está en una lista de revocación de certificados), pero el servidor no puede establecer una conexión con el CA para preguntarle si ese certificado fue revocado, y está frase creá confusión porque suena como su certificado ha sido revocado, en vez de el servidor no podía conectar al CA para verificar que el certificado fue revocado (lo cual es la fuente principal de este error aunque el certificado es perfectamente válido).

Cuando nos hemos encontrado con este problema en el pasado, ha sido causado por la configuración de proxy WinHTTP o la configuración de firewall que no permite que el servidor de Exchange realice las comprobaciones de revocación. La utilidad de gestión de certificados SSL DigiCert le permite comprobar si el servidor puede lograr conectar a la OCSP o CRL utilizando con la configuración de WinHTTP del servidor, de modo que un certificado puede pasar esta prueba.

Con los certificados SSL, las autoridades de certificación llevar un registro de todos los certificados que han sido revocados y crear una lista de los números de serie de los certificados revocados y cada certificado SSL contiene el URL del CRL. A continuación, los clientes conectan a la URL y descargan una (lista de certificados revocados) CRL y buscará el número de serie del certificado en cuetión que reciban de un servidor como parte de su proceso a verificar que un certificado es válido antes que permiten a los clientes ver una página o recibir su email etc. Las direcciones URL de CRL de un certificado (s) se puede encontrar mediante la ejecución de la utilidad de DigiCert, haga doble clic en el certificado, ir a la pestaña Detalles y el desplazamiento hacia abajo y seleccionar 'Puntos de distribución CRL'.

El proceso de tener que descargar una autoridad de certificación de archivos de todo el CRL y comprobar que los certificados revocados ha sido un tanto en desuso por la creación de la Online Certificate Status Protocol (OCSP). OCSP es como una CRL, pero más sencillo y rápido para los clientes y servidores. OCSP equivale al navegador de un cliente busca en un número de serie, la consulta de la CA a través de OCSP si un certificado SSL se está revocado y el servidor responde que sí o que no.

Para utilizar la Utilidad de Certificado DigiCert para determinar si el servidor está teniendo problemas para accessar la URL de revocación de certificados lista para un certificado SSL o el servicio de OCSP, haga clic en el icono de DigiCert en la esquina superior izquierda del programa, y elegir la asistencia de diagnóstico.

Pantalla de Ayuda de Diagnóstico

    Computadoras y servidores de Microsoft utilizan la configuración por separado, tanto para 32 bits y 64 bits de configuración de WinHTTP, así que si estás usando un sistema operativa de 64 bits, usted debe probar ambos. Después de abrir la pantalla de ayuda de diagnóstico en la configuración del servidor Proxy, verá la configuración de WinHTTP muestra:

    (Access Type) Tipo de Acceso: Mostrará una lista de acceso directo, si no hay proxy está configurado o mostrará una lista de cualquier servidor proxy configurado (s)
    (Por ejemplo, proxy.yourdomain.com: 8080).
    (Proxy Servers) Servidores proxy: Lista de los ajustes anteriores.
    (Bypass List) Lista de Sitios Ignorados: Muestra la lista de dominios que están configurados para no usar el proxy (por ejemplo, el directorio activo dominio).

  1. Haga clic en (Test DigiCert CRL Access) Prueba de Acceso DigiCert CRL, después haga clic en (Perform Test) Ejecutar el Test.

    prueba de acceso de OCSP

    Si la utilidad es capaz de accesar la CRL de DigiCert recibirá un mensaje que indica que se (CRL server was successfully reached) 'llegó con éxito a CRL de servidor'.

    OCSP alcanzado con éxito

  2. Haga clic en (CRL server was successfully reached) Prueba de Acceso DigiCert OCSP, a continuación, haga clic en (Perform Test) Ejecutar el Test.

    Comprueba de acceso a OCSP

    Si la utilidad es capaz de alcanzar OCSP DigiCert de que recibirá un mensaje que indica que (CRL server was successfully reached) 'llegó con éxito a OCSP del server'.

    OCSP alcanzado con éxito