PingFederate证书吊销

Question

我只想知道证书撤销在PingFederate中是如何工作的。

它从哪里读取任何连接使用的任何证书的过期时间？是否有包含有关连接和相应证书的所有信息的文件？

Answer 1

您的主要问题是检测您的证书何时过期？如果是这样，有关证书吊销列表(CRL)功能的详细信息可能不是您想要的。CRL表示在过期之前已被吊销的证书的序列号-通常过期的证书会自动从CRL中删除。

如果要确定哪些证书即将过期，则可能需要检查每个连接。这里有一个检查您是否正在谈论SP连接上的签名证书的示例(如果您是IdP)：https://support.pingidentity.com/s/document-item?bundleId=pingfederate-92&topicId=adminGuide%2FconfiguringDigitalSignatureSettings.html

没有一个中心位置来检查所有证书的状态。如果您认为证书已过期，并且遇到错误-请查阅server.log文件。请参阅：https://support.pingidentity.com/s/document-item?bundleId=pingfederate-92&topicId=adminGuide%2FmanagingLogFiles.html

如果您希望在证书即将到期时收到通知，您可以启用运行时通知，以便在证书到期前X天让PingFederate向您发送电子邮件：https://support.pingidentity.com/s/document-item?bundleId=pingfederate-92&topicId=adminGuide%2FconfiguringRuntimeNotifications.html

如果其他方法都失败了，请联系我们的客户支持：https://support.pingidentity.com。他们会很乐意提供帮助的。

(注:我为Ping工作！)

Answer 2

Expired certificates report Knowledgebase page显示您可以运行

cd $PingFederate_Install_Directory>/pingfederate/server/default/data
keytool -list -v -keystore ping-dsig.jks < /dev/null

获取所有证书的转储，从中可以解析过期日期。