|
Как испортить список отозванных сертификатов в хранилище Windows?
Тестирую программу, работающую с сертификатами. Нужно, в том числе, проверить, как она работает, когда испорчен список отозванных сертификатов (СОС).
Сертификаты из личного хранилища сертификатов можно экспортировать и импортировать с помощью оснастки "Сертификаты" в консоли управления, поэтому тест на работу с испорченными сертификатами не вызывает проблем. С СОС такого сделать нельзя (разрешён только экспорт). Прямое изменение хранилища (в %AppData%\Microsoft\SystemCertificates\My\) позволяет, опять же, только испортить сертификат. Как испортить именно СОС? |
6yXL3Bu4,
Список отозванных сертификатов располагается на сервере. Просмотрите свойства сертификата, и найдите в нем путь размещения CRL (это правильное сокращение того, что вы обозвали "СОС"). Потом заблокируйте данный путь на фаерволе и посмотрите реакцию. |
Под путём размещения Вы имеете в виду CDP? Так указание этого пути опционально, увы. В моём случае CDP в сертификате не указана :(
CRL получен с сервера УЦ, но дальше он грузится в хранилище, и программа работает сама по себе, ориентируясь именно на хранилище, так что где-то локально CRL должен валяться... Конечно, сокращение CRL правильное для английского варианта. Но CRL -> Certificate Revocation List -> Список Отзыва (Отозванных) Сертификатов -> СОС. Такие варианты перевода и сокращения у нас, вроде, устоявшиеся и наиболее используемые. |
Решение найдено. Программа есть в составе Visual Studio, Windows SDK, отдельно на сайте Microsoft найти её так и не удалось. Есть ещё GUI-вариант, команды по вышеприведённой ссылке для которого не работают, и CRL из файла в хранилище им не вгрузишь.
Итак, экспортируем CRL с помощью оснастки "Сертификаты", портим его HEX-редактором, затем запускаем программу с командой "/add /crl <имя файла CRL> /s <имя хранилища>", где <имя хранилища> одно из следующих:
И вуа ля - CRL запихнётся в нужное хранилище! |
| Время: 15:38. |
Время: 15:38.
© OSzone.net 2001-