IIS : 16. 인증서 검증 - CRL 체크 설정

인증서 검증 - CRL 체크 설정

CRL 체크 관련해서 전에 말씀을 드렸었지요?

IIS 7에서 클라이언트 측 인증서 사용 시 주의점
; https://www.sysnet.pe.kr/2/0/418

CRL(Certificate Revocation List) 관리
; https://www.sysnet.pe.kr/2/0/414

IE 6/7 측에서도 서버 인증서의 CRL을 체크할 수 있는 옵션이 있는 것처럼, IIS 6/7에서도 클라이언트에서 제공하는 인증서의 CRL을 체크할 수 있는 옵션이 제공됩니다. 아쉽게도 관리 콘솔에서는 그 기능을 제공하지는 않고 간단한 스크립트를 만들어야 가능합니다. 이에 대해서는 다음의 토픽을 참고하십시오.

Client Certificates Authentication - Dirty Trick To Disable CRL Check. For Demos Only!
; http://blogs.msdn.com/alikl/archive/2007/08/14/client-certificates-authentication-dirty-trick-to-disable-crl-check-for-demos-only.aspx

간단히 정리해 보면, IIS 6에서는 다음과 같은 간단한 스크립트릍 통해 가능하고.

Set oWeb = GetObject("IIS://localhost/W3SVC")
   oWeb.CertCheckMode = 1 ' 기본값: 0
   oWeb.SetInfo

관련 레지스트리 경로도 누군가 파악해서 올려놨군요.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfo\0.0.0.0:443
DefaultSslCertCheckMode
 
Which was defult set to 0, but I changed it to 1 and rebooted (important) and....guess what...it worked!

IIS 7에서는 netsh을 통해서 가능합니다. netsh을 통한 방법은 일단 서버 측에 매핑된 SSL을 제거한 다음, 다시 설정할 때 클라이언트 측 인증서의 CRL 체크 여부를 같이 하는 것 같습니다.

"netsh http show sslcert" will show the details of the existing sslcert

SSL Certificate bindings:
-------------------------

    IP:port                 : 0.0.0.0:443
    Certificate Hash        : ...
    Application ID          : ...
    Certificate Store Name  : ...
    ...

then delete the cert using "netsh http delete sslcert"

and recreate using

netsh http add sslcert ipport=0.0.0.0:443 certhash=... appid=...
certstorename=MY verifyclientcertrevocation=disable

of course, this would require some parsing code to do in a script, would be easier to do using HttpSetServiceConfiguration with HttpServiceConfigSSLCertInfo - http://msdn2.microsoft.com/en-us/library/aa364503.aspx

[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[다음 글] 개발 환경 구성: 109. Code Project Browser Add-In for Visual Studio 2005
[이전 글] TFS : 124. VSTS - Architecture Edition Power Tools - 8월 CTP

[최초 등록일: 8/16/2007]
[최종 수정일: 12/26/2022]

No	Writer	Date	Cnt.	Title
875	정성태	11/9/2007	10350	.NET : 66. 한 눈으로 확인하는 .NET 데이터 액세스 계층
874	정성태	11/6/2007	11391	Debug : 30. OpenFileDialog 사용시 메모리 사용이 급격하게 올라가는 문제
873	정성태	11/6/2007	10464	Debug : 29. WinDBG - 명령어 !IToldYouSo
872	정성태	11/3/2007	10573	Debug : 28. Debugger Visualizer - DynamicMethod / MethodInfo [1]
871	정성태	10/31/2007	10785	TFS : 141. VS.NET 2008 - 개선된 WorkItem 기능
870	정성태	10/31/2007	10457	TFS : 140. TFS to TFS Migration Tool
869	정성태	10/31/2007	10600	.NET : 65. ASP.NET 을 어셈블리 언어로.
868	정성태	10/30/2007	10825	.NET 3.0 : 23. 카드 스페이스 - SSL 없이도 구현가능.
867	정성태	10/30/2007	10722	.NET : 64. CAB(Composite Application Block) 에 접근하고 싶으세요?
866	정성태	10/28/2007	10664	개발 환경 구성: 115. VPC 를 이용한 AD 네트워크 구성
865	정성태	10/27/2007	10828	.NET : 63. Singleton 패턴 구현
864	정성태	10/23/2007	10851	TFS : 139. 단위 테스트를 MTA로 실행하도록 설정 [1]
863	정성태	10/20/2007	10609	VisualNDepend
862	정성태	10/20/2007	10114	.NET : 62. CAB 성능 향상 팁
861	정성태	10/20/2007	10481	Debug : 27. SOS 를 이용하여 .NET Finalizer 디버깅
860	정성태	10/18/2007	10474	TFS : 138. 팀 규모에 따른 물리 서버의 용량
859	정성태	10/16/2007	11391	개발 환경 구성: 114. Eric Gunnerson 의 WiX 관련 포스트들 [3]
858	정성태	10/16/2007	10711	.NET : 61. 메서드 안에서 정의된 블록 내부의 변수에 대한 범위
857	정성태	10/9/2007	10330	TFS : 137. 특정 버전의 소스로 팀 빌드하는 방법
856	정성태	10/8/2007	11715	.NET 3.5 : 32. ReaderWriterLock 과 ReaderWriterLockSlim 의 성능 비교.
855	정성태	10/5/2007	10461	개발 환경 구성: 113. Virtual PC - 처음 생성한 VHD 파일의 크기를 바꿀 수 있을까?
854	정성태	10/3/2007	10332	TFS : 136. Operations Guidance for Team Foundation Server
853	정성태	10/2/2007	10721	.NET 3.5 : 31. ToJSON 확장 메서드 구현
852	정성태	9/30/2007	11848	IIS : 18. IIS 7.0 의 FTP 서비스를 위한 방화벽 설정
851	정성태	9/27/2007	10884	TFS : 135. TFS 2008 용 빌드 알림 도구
850	정성태	9/26/2007	10152	TFS : 134. Visual Studio Team System Web Access 2008 파워툴 CTP

Writer

Date

Cnt.

Title

File(s)

875

정성태

11/9/2007

10350

.NET : 66. 한 눈으로 확인하는 .NET 데이터 액세스 계층

874

정성태