web-dev-qa-db-fra.com

SonicWall et Windows ca

Je tente d'importer un certificat créé par une autorité de certification que j'ai configurée dans Windows à l'aide de l'AD CS. J'ai fait ce qui suit:

1) Créé ma propre ca (mycompany)
2) Services Web activés (principalement pour faciliter la configuration)
[.____] 3) a généré une demande de certificat sur le Sonicwall lui-même
[.____] 4) Services Web utilisés pour signer le certificat
[.
[.____] 6) a importé le certificat de CA.

C'est là que je suis coincé. J'ai tenté d'importer la liste CRL, mais d'obtenir l'erreur suivante: CRL Error - Verification failed using CA certificate. Aucune autre erreur apparaît dans les journaux. Sans la liste CRL, le certificat ne vérifie pas et il n'apparaît pas sous la page "Administration", donc je peux le sélectionner pour une utilisation via HTTPS.

Des idées?

Modifier: de SonicWall lorsque j'essaie d'utiliser ma liste HTTP publiée:

07/02/2013 14:33:54.256 Alert   VPN PKI Cannot Validate Issuer Path         HTTPS        
19  07/02/2013 14:33:54.256 Alert   VPN PKI CRL validation failure for Root Certificate         MyCompanyCA      
20  07/02/2013 14:33:54.256 Alert   VPN PKI Failed to Process CRL from           http://crl.mydomain.com/Cert
Enroll/ CA: MyCompanyCA
5
Nathan C

Ainsi, après avoir revu avec une nouvelle CA, il apparaît qu'il y a réellement un bug avec Sonicos 5.8 qui cause ce problème. Mon certificat de CA est SHA512 et Sonicos prend uniquement en charge SHA1. Malheureusement, je ne peux pas encore passer à 5.9 (qui résout le problème). Si cela aide quelqu'un d'autre, génial.

4
Nathan C

Eh bien, faire des suppositions sauvages, faisons cela:

  • commençons par la chose stupide: êtes-vous sûr que vous importaez le bon fichier ?! :)

  • Les DNS sont-ils corrects? Le SonicWall peut-il résoudre le succès de la crl.mydomain.com?

  • Le temps est-il correct? Assurez-vous de disposer d'un serveur NTP configuré des deux côtés, généralement la gestion des certificats nécessite une heure correcte.

  • L'URL CRL télécharge-t-elle vraiment quelque chose?

  • Pouvez-vous voir le journal de Windows CA, pour confirmer que le fichier est téléchargé? Ou encore mieux, chargez un sniffer (comme Wireshark) dans les fenêtres CA et voyez si vous obtenez une demande, sur quel port vous obtenez la demande et ce que vous répondez. Si vous n'obtenez rien, vérifiez le pare-feu, les problèmes de routage, les acl, etc.

Si vous obtenez une demande et une réponse réussie avec des informations valides, c'est probablement un problème SonicWall.

Si tout échoue, ouvrez une demande de service à SonicWall, ils devraient vous aider à déboguer le problème.

0
higuita