我在用根CA验证客户端证书时遇到问题,该根证书是通过APIM的“ CA证书”秃头上传的。
我观察到的问题,当我在APIM的“自定义域”刀片上启用“协商客户端证书”设置时,则在24小时之后如果我们使用相同的根目录创建任何X.509客户端证书(假设证书1) CA使用openssl,然后APIM为此提供了“无效的客户端证书”,并且在24小时内,我们以相同方式生成的所有客户端证书都可以正常工作,APIM可以验证相同的证书。 现在24小时后(开始出现问题时)如果我们在“自定义域”刀片上禁用了“协商客户端证书”设置,那么我们在24小时后生成的所有证书(certificate1)都可以正常工作并且APIM开始能够进行验证它。
这个问题一直存在,就像我们启用或禁用“协商客户端证书”时的最后一点,然后恰好在24小时后这个问题开始出现。
以下我用来根据根CA证书验证证书的策略:
<choose>
<when condition="@(context.Request.Certificate == null || !context.Request.Certificate.VerifyNoRevocation())">
<return-response>
<set-status code="403" reason="Invalid client certificates" />
</return-response>
</when>
</choose>
有人可以帮我确切地知道缺少什么配置吗?