使用 certutil 验证 SSL 证书时出现 certutil 403 错误

Question

我正在使用 certutil 调试证书问题。

在除一台服务器外的所有服务器上，我可以使用以下命令成功检查任何证书：

certutil.exe -f -urlfetch -verifiy certificatefilename.cert

在我们的一台服务器上，此命令失败（对于任何证书）并出现如下错误：

 ----------------  Certificate AIA  ----------------
 Failed "AIA" Time: 0
   Error retrieving URL: Forbidden (403). 0x80190193 (-2145844845 HTTP_E_STATUS
FORBIDDEN)
   http://crt.comodoca.com/COMODORSAOrganizationValidationSecureServerCA.crt

 ----------------  Certificate CDP  ----------------
 Failed "CDP" Time: 0
   Error retrieving URL: Forbidden (403). 0x80190193 (-2145844845 HTTP_E_STATUS
FORBIDDEN)
   http://crl.comodoca.com/COMODORSAOrganizationValidationSecureServerCA.crl

 ----------------  Certificate OCSP  ----------------
 Failed "OCSP" Time: 0
   Error retrieving URL: Forbidden (403). 0x80190193 (-2145844845 HTTP_E_STATUS
FORBIDDEN)
   http://ocsp.comodoca.com

奇怪的是，当我通过浏览器（在同一台服务器上）访问这些 URL 时，文件下载没有问题（例如，可以毫无问题地下载以下证书吊销列表：http://crl.comodoca.com/COMODORSAOrganizationValidationSecureServerCA.crl）

我检查了以下内容：

IP 设置在所有服务器上都具有可比性
所有服务器上的代理设置都相同
我在两台服务器上使用相同的用户帐户登录
它发生在提升和非提升的命令提示符上

什么可能导致 403 错误？

Answer 1

您还应该使用命令

检查系统代理

netsh winhttp show proxy

certutil 不使用 IE 代理，所以这可能是不同之处。

使用 certutil 验证 SSL 证书时出现 certutil 403 错误

certutil 403 errors when verifying SSL certificate with certutil

ssl-certificate

certutil