IIS : 16. 인증서 검증 - CRL 체크 설정

인증서 검증 - CRL 체크 설정

CRL 체크 관련해서 전에 말씀을 드렸었지요?

IIS 7에서 클라이언트 측 인증서 사용 시 주의점
; https://www.sysnet.pe.kr/2/0/418

CRL(Certificate Revocation List) 관리
; https://www.sysnet.pe.kr/2/0/414

IE 6/7 측에서도 서버 인증서의 CRL을 체크할 수 있는 옵션이 있는 것처럼, IIS 6/7에서도 클라이언트에서 제공하는 인증서의 CRL을 체크할 수 있는 옵션이 제공됩니다. 아쉽게도 관리 콘솔에서는 그 기능을 제공하지는 않고 간단한 스크립트를 만들어야 가능합니다. 이에 대해서는 다음의 토픽을 참고하십시오.

Client Certificates Authentication - Dirty Trick To Disable CRL Check. For Demos Only!
; http://blogs.msdn.com/alikl/archive/2007/08/14/client-certificates-authentication-dirty-trick-to-disable-crl-check-for-demos-only.aspx

간단히 정리해 보면, IIS 6에서는 다음과 같은 간단한 스크립트릍 통해 가능하고.

Set oWeb = GetObject("IIS://localhost/W3SVC")
   oWeb.CertCheckMode = 1 ' 기본값: 0
   oWeb.SetInfo

관련 레지스트리 경로도 누군가 파악해서 올려놨군요.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfo\0.0.0.0:443
DefaultSslCertCheckMode
 
Which was defult set to 0, but I changed it to 1 and rebooted (important) and....guess what...it worked!

IIS 7에서는 netsh을 통해서 가능합니다. netsh을 통한 방법은 일단 서버 측에 매핑된 SSL을 제거한 다음, 다시 설정할 때 클라이언트 측 인증서의 CRL 체크 여부를 같이 하는 것 같습니다.

"netsh http show sslcert" will show the details of the existing sslcert

SSL Certificate bindings:
-------------------------

    IP:port                 : 0.0.0.0:443
    Certificate Hash        : ...
    Application ID          : ...
    Certificate Store Name  : ...
    ...

then delete the cert using "netsh http delete sslcert"

and recreate using

netsh http add sslcert ipport=0.0.0.0:443 certhash=... appid=...
certstorename=MY verifyclientcertrevocation=disable

of course, this would require some parsing code to do in a script, would be easier to do using HttpSetServiceConfiguration with HttpServiceConfigSSLCertInfo - http://msdn2.microsoft.com/en-us/library/aa364503.aspx

[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[다음 글] 개발 환경 구성: 109. Code Project Browser Add-In for Visual Studio 2005
[이전 글] TFS : 124. VSTS - Architecture Edition Power Tools - 8월 CTP

[최초 등록일: 8/16/2007]
[최종 수정일: 12/26/2022]

No	Writer	Date	Cnt.	Title	File(s)
65	정성태	2/15/2005	12386	Office 2003: XML Reference Schemas
64	정성태	2/14/2005	13561	MFC 및 ATL 컨트롤을 위한 서명된 CAB 파일 만들기
63	정성태	2/15/2005	11980	[CodeProject] Overriding MFC's Default Client Site to Implement IServiceProvider	1
62	정성태	11/14/2005	12346	간략 소개 - 64bit Windows
61	정성태	1/29/2005	12398	XP SP2 팝업창을 코드로 띄우는 것이 가능하군요.
60	정성태	1/28/2005	10577	MSDN Chat : VS.NET 2005 Team System public chats	1
59	정성태	1/27/2005	12865	Error 1034. Error writing to file" when installing Visual Studio .NET 2005 CTP December 2004 - error code is 2350
57	정성태	1/17/2005	12188	Microsoft .NET: Implement a Custom Common Language Runtime Host for Your Managed App	1
56	정성태	1/12/2005	12565	.NET Framework 2.0 설치 후, InfoPath 폼이 VS.NET 2003 에서 디버깅이 안되는 경우.
55	정성태	1/10/2005	12698	Management (WMI) Extensions for Visual Studio .NET 2003 Server Explorer
54	정성태	1/11/2005	11933	WSE 2.0 및 Sun JWSDP 1.4를 사용한 WS-Security 상호 운용성
76	정성태	3/10/2005	12369	[추가]: Web Services Security Interoperability using WSE 2.0 and Systinet Server 5.0 for Java
94	정성태	5/12/2005	12179	[추가]: JWSDP 1.5 버전이 나왔군요.
148	정성태	12/12/2005	10422	[추가]: WS-Security Interoperability with .NET/WSE and WebLogic Workshop 8.1	1
53	정성태	1/6/2005	12785	버퍼 오버런 해결!
58	정성태	1/23/2005	13372	VS.NET 2005 : 새롭게 소개되는 버퍼 오버런 방지 CRT 함수들
52	정성태	1/6/2005	11754	Visual C# .NET Code Samples
51	정성태	1/6/2005	11845	Visual C++ .NET 2003 Code Samples
50	정성태	1/6/2005	11856	Visual Studio .NET 2003 Automation Samples
49	정성태	1/3/2005	11742	2005년 올 한 해 릴리스 될 MS 제품
48	정성태	1/2/2005	11979	.NET 2.0 : 연결 문자열 및 기타 .config 내용 암호화
47	정성태	12/31/2004	12082	뉴스그룹: Microsoft Whidbey Private 뉴스 그룹
46	정성태	12/31/2004	11918	MSDN Magazine: Comparing the Timer Classes in the .NET Framework Class Library
45	정성태	12/31/2004	11390	MSDN Magazine: Updating the UI from a Secondary Thread
44	정성태	12/30/2004	13271	NewSID : 사용자 계정의 보안 식별자를 변경해 주는 프로그램	1
43	정성태	12/28/2004	11955	VSMT 소개: Physical Server to Virtual Server

Writer

Date

Cnt.

Title

File(s)

정성태

2/15/2005

12386

Office 2003: XML Reference Schemas

정성태

2/14/2005

13561