Remove From My Forums

Zertifikate werden als "gültig" angezeigt (trotz Sperrung).

Allgemeine Diskussion
0

Anmelden
Hallo Zusammen! Ich habe ein Problem mit unserer Enterprise PKI. Die Umgebung sieht wie folgt aus:

1. Root-CA (Offline)

2. Sub-CA (Online)

3. Ausgestellte Zertifikate (Endbenutzer)

Weiterhin kommt ein OCSP zum Einsatz. Die Sperrliste wird wöchentlich veröffentlicht, die Deltasperrliste täglich. Die Veröffentlichten Sperrlisten werden ordnungsgemäß von den Clients abgerufen und enthalten die Seriennummern der gesperrten Zertifikate. PKIView meldet keine Fehler.

Wenn ich jetzt ein Zertifikat erstelle (z.B. zur Anmeldung per SmartCard) und dieses anschließend sperre, die Sperrliste veröffentliche, den Cache lösche und via certutil -verify -urlfetch test.cer die Prüfung durchführe, erhalte ich eine Rückmeldung, dass das Zertifikat gesperrt wurde. Die Anmeldung via SmartCard ist aus besagtem Grund nicht mehr möglich. Alles gut und schön. Rufe ich jedoch das Zertifikat auf und schaue mir unter dem Reiter Zertifizierungspfad den Zertifizierungsstatus an, erhalte ich die Rückmeldung: Dieses Zertifikat ist gültig. Leider bin ich bisher nicht fündig geworden.

Ich hoffe ihr habt eine Idee!
- Bearbeitet Lukas SaßlMicrosoft employee Donnerstag, 26. April 2012 12:07
- Verschoben Raul TalmaciuMicrosoft contingent staff Mittwoch, 2. Mai 2012 09:08 PKI Frage (aus:Windows Server)
- Typ geändert Raul TalmaciuMicrosoft contingent staff Freitag, 11. Mai 2012 06:22 Warten auf Feedback
Donnerstag, 26. April 2012 09:21

Antworten

|

Zitieren

Alle Antworten

0

Anmelden

Hallo,

ich verschiebe den Thread in das Active Directory Forum verschieben, vielleicht hat dort jemand eine Idee:

http://social.technet.microsoft.com/Forums/de-de/active_directoryde/threads

Gruss,
Raul
Raul Talmaciu, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

Mittwoch, 2. Mai 2012 09:08

Antworten

|

Zitieren
0

Anmelden

Moin,

ich habe das noch nicht referenziert, aber es könnte sein, das die Sperrliste beim öffnen des Zertifikates nicht abgefragt wird. Der Check mit Certutil prüft die ganze Kette und muss auch die richtige Antwort zurück liefern. Wenn das klappt ist alles korregt.
Viele Grüße Carsten

Donnerstag, 10. Mai 2012 04:12

Antworten

|

Zitieren
0

Anmelden

Hallo!

Danke für die Antwort. Die Sperrliste wird scheinbar abgefragt und ist auch anschließend im Cache zu finden. Über die URL ist die Sperrliste sowohl intern als auch extern abrufbar. Anbei mal das Resultat von certutil -verify -urlfetch test7.cer
Aussteller:
CN=sub-ca
DC=musterfirma
DC=dom
Antragsteller:
E=Administrator@musterfirma.de
CN=Administrator
CN=Users
DC=musterfirma
DC=dom
Zertifikatseriennummer: 2bb4bfd3000000000073

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwErrorStatus = CERT_TRUST_IS_REVOKED (0x4)
ChainContext.dwRevocationFreshnessTime: 163 Days, 1 Hours, 13 Minutes, 39 Seconds

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_REVOKED (0x4)
SimpleChain.dwRevocationFreshnessTime: 163 Days, 1 Hours, 13 Minutes, 39 Seconds

CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=4
Issuer: CN=sub-ca, DC=musterfirma, DC=dom
NotBefore: 18.05.2012 14:54
NotAfter: 18.05.2013 14:54
Subject: E=Administrator@musterfirma.de, CN=Administrator, CN=Users, DC=musterfirma, DC=dom
Serial: 2bb4bfd3000000000073
SubjectAltName: Anderer Name:Prinzipalname=Administrator@musterfirma.dom, RFC822-Name=Administrator@musterfirma.de
Template: VP-Benutzer
48 89 68 e6 77 68 40 9f 2a 47 f3 aa 6f 6b fe cf 3f d1 c3 80
Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
Element.dwErrorStatus = CERT_TRUST_IS_REVOKED (0x4)
---------------- Zertifikat abrufen ----------------
Überprüft "Zertifikat (0)" Zeit: 0
[0.0] http://crl.musterfirma.de/CertEnroll/crt/sub-ca.crt

---------------- Zertifikat abrufen ----------------
Überprüft "Basissperrliste (0110)" Zeit: 0
[0.0] http://crl.musterfirma.de/CertEnroll/rl/sub-ca.crl

---------------- Basissperrliste veraltet ----------------
Keine URLs "Keine" Zeit: 0
---------------- Zertifikat-OCSP ----------------
Überprüft "OCSP" Zeit: 0
[0.0] http://ocsp.musterfirma.de/ocsp

--------------------------------
CRL 0110:
Issuer: CN=sub-ca, DC=musterfirma, DC=dom
1a 3f 0e a7 21 db f8 f9 d1 28 6f 26 8a 02 37 5e 90 f6 b5 f0
Application[0] = 1.3.6.1.5.5.7.3.2 Clientauthentifizierung
Application[1] = 1.3.6.1.5.5.7.3.4 Sichere E-Mail
Application[2] = 1.3.6.1.4.1.311.10.3.4 Verschlüsselndes Dateisystem

CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=0
Issuer: CN=root-ca, CN=musterfirma, CN=dom
NotBefore: 18.09.2011 12:35
NotAfter: 18.09.2026 12:45
Subject: CN=sub-ca, DC=musterfirma, DC=dom
Serial: 611d74c5000000000004
Template: SubCA
50 dc 1e cb bb 79 6a 2b 3e 24 0d 3f 90 fb 15 e7 3d 90 7f 8f
Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
---------------- Zertifikat abrufen ----------------
Überprüft "Zertifikat (0)" Zeit: 0
[0.0] http://crl.musterfirma.de/CertEnroll/crt/root-ca.crt

---------------- Zertifikat abrufen ----------------
Überprüft "Basissperrliste (06)" Zeit: 0
[0.0] http://crl.musterfirma.de/CertEnroll/rl/root-ca.crl

---------------- Basissperrliste veraltet ----------------
Keine URLs "Keine" Zeit: 0
---------------- Zertifikat-OCSP ----------------
Keine URLs "Keine" Zeit: 0
--------------------------------
CRL 06:
Issuer: CN=root-ca, CN=musterfirma, CN=dom
66 8b e4 54 df bc f7 01 5d 7b d4 0d e5 44 1c 88 ee d9 dd 7d

CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0
Issuer: CN=root-ca, CN=musterfirma, CN=dom
NotBefore: 16.09.2011 10:44
NotAfter: 16.09.2041 10:54
Subject: CN=root-ca, CN=musterfirma, CN=dom
Serial: 7a5b687f434de88b4db39eda19b233ef
dc df dc a1 8b 87 4a 58 58 8d 1d d3 37 83 9a 76 00 19 b6 17
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
---------------- Zertifikat abrufen ----------------
Keine URLs "Keine" Zeit: 0
---------------- Zertifikat abrufen ----------------
Keine URLs "Keine" Zeit: 0
---------------- Zertifikat-OCSP ----------------
Keine URLs "Keine" Zeit: 0
--------------------------------

Exclude leaf cert:
49 31 fc 52 06 95 3e 9a 50 f6 16 1d 60 bd 0e 90 b3 4d cd b5
Full chain:
a6 ff dc 5d 09 21 d4 39 6d b2 2e fd 83 84 d7 b4 38 d4 ba 88
Issuer: CN=sub-ca, DC=musterfirma, DC=dom
NotBefore: 18.05.2012 14:54
NotAfter: 18.05.2013 14:54
Subject: E=Administrator@musterfirma.de, CN=Administrator, CN=Users, DC=musterfirma, DC=dom
Serial: 2bb4bfd3000000000073
SubjectAltName: Anderer Name:Prinzipalname=Administrator@musterfirma.dom, RFC822-Name=Administrator@musterfirma.de
Template: VP-Benutzer
48 89 68 e6 77 68 40 9f 2a 47 f3 aa 6f 6b fe cf 3f d1 c3 80
Das Zertifikat wurde gesperrt. 0x80092010 (-2146885616)
------------------------------------
Das Zertifikat ist GESPERRT.
Untergeordnetes Zertifikat wurde gesperrt (Grund=4)
CertUtil: -verify-Befehl wurde erfolgreich ausgeführt.

Freitag, 18. Mai 2012 13:21

Antworten

|

Zitieren