none
Sperrfunktion konnte Sperrung nicht überprüfen RRS feed

  • Frage

  • Hallo Forum,

    ich verzweifle aktuell bei einem kleinen VPN Projekt.

    Im CAPI2 Log kommt die ganze Zeit die Meldung, dass Die Sperrfunktion die Sperrung nicht überprüfen kann, da der Sperrserver offline ist.

    Ist er aber nicht. 

    certutil -urlcache "http://crl-priv-pki.credit-agricole.fr/crl/CACreditAgricoleInternalSoftware.crl"

    funktioniert wunderbar. Dennoch bekomme ich die Meldung nicht weg und mein VPN somit nicht ans laufen.

    Bin für jede Hilfe dankbar.

    Grüße


    Best regards Andreas Ernst MCITP:EA, MCP, MCTS, MCSA 2016

    Dienstag, 23. März 2021 16:14

Antworten

  • Das entscheidet letztendlich die validierende Applikation. Aber er kommt ja auch nicht an die AIA-Info. Wenn man sie nicht bereitstellt (als CA), darf sie auch nicht in den ausgestellten Zertifikaten enthalten sein.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert Andreas Ernst Mittwoch, 24. März 2021 13:03
    Mittwoch, 24. März 2021 11:03

Alle Antworten

  • Moin,

    was sagt denn 

    certutil -verify -urlfetch c:\path\cert.cer

    ?

    In welcher VPN-Phase kommt das Zertifikat zum Tragen? Welche VPN-Technik ist im Einsatz?


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 23. März 2021 18:42
  • Hallo,

    das VPN soll ein IKEv2 werden. Die Fehlermeldungen erscheinen gleich am Anfang wenn ich versuche eine Verbindung herzustellen. Das Zertifikat gehört meinem RAS / VPN Server. Anbei findest die Ausgabe von certutil.

    Aussteller:
        CN=CA Credit Agricole Server
        OU=0002 784608416
        OU=Private Group PKI
        O=Credit Agricole Group
        C=FR
      Namenshash (sha1): c7085ea658f015be5b319db987fc1c0b79d31b7f
      Namenshash (md5): da446eb225b0972ed02114402275132a
    Antragsteller:
        CN=rras-p
        OU=0002 403063274
        OU=Meine Firma 
        OU=Private Group PKI
        O=Credit Agricole Group
        C=DE
      Namenshash (sha1): 4f7463d8b4a6f8b730bbebe0dd5b75ea65b8a706
      Namenshash (md5): e700306ce688f2558e7ad3cf4736d5de
    Zertifikatseriennummer: b90d11726a82ad2c798171a3

    dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
    dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
    ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
    HCCE_LOCAL_MACHINE
    CERT_CHAIN_POLICY_BASE
    -------- CERT_CHAIN_CONTEXT --------
    ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    ChainContext.dwRevocationFreshnessTime: 4 Weeks, 9 Hours, 37 Minutes, 17 Seconds

    SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    SimpleChain.dwRevocationFreshnessTime: 4 Weeks, 9 Hours, 37 Minutes, 17 Seconds

    CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
      Issuer: CN=CA Credit Agricole Server, OU=0002 784608416, OU=Private Group PKI, O=Credit Agricole Group, C=FR
      NotBefore: 23.03.2021 15:17
      NotAfter: 22.03.2025 15:18
      Subject: CN=rras-p, OU=0002 403063274, OU=Meine Firma, OU=Private Group PKI, O=Credit Agricole Group, C=DE
      Serial: b90d11726a82ad2c798171a3
      SubjectAltName: DNS-Name=rras-p.Meine Firma, DNS-Name=rras-p.Meine Firma.int, DNS-Name=rras-p
      Cert: 382ef2bf07d59a971706b6e1415840c162018e79
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Zertifikat abrufen  ----------------
      Gescheitert "AIA" Zeit: 0 (null)
        Fehler beim Abrufen der URL: Das Zeitlimit für den Vorgang wurde erreicht. 0x80072ee2 (WinHttp: 12002 ERROR_WINHTTP_TIMEOUT)
        http://caissuers-priv-pki.credit-agricole.fr/caissuers/CACreditAgricoleServer.p7c

      ----------------  Zertifikat abrufen  ----------------
      Überprüft "Basissperrliste (26b9)" Zeit: 0 c402d870be35e7e96257a41c642bbd39e128c49c
        [0.0] http://crl-priv-pki.credit-agricole.fr/crl/CACreditAgricoleServer.crl

      ----------------  Basissperrliste veraltet  ----------------
      Keine URLs "Keine" Zeit: 0 (null)
      ----------------  Zertifikat-OCSP  ----------------
      Gescheitert "OCSP" Zeit: 0 (null)
        Fehler beim Abrufen der URL: Der Servername oder die Serveradresse konnte nicht verarbeitet werden. 0x80072ee7 (WinHttp: 12007 ERROR_WINHTTP_NAME_NOT_RESOLVED)
        http://ocsp-priv-pki.credit-agricole.fr/ocsp/server

      --------------------------------
        CRL 26b9:
        Issuer: CN=CA Credit Agricole Server, OU=0002 784608416, OU=Private Group PKI, O=Credit Agricole Group, C=FR
        ThisUpdate: 24.03.2021 08:11
        NextUpdate: 27.03.2021 08:11
        CRL: c402d870be35e7e96257a41c642bbd39e128c49c
      Issuance[0] = 1.2.250.1.316.1.1.6.1 
      Application[0] = 1.3.6.1.5.5.7.3.2 Clientauthentifizierung
      Application[1] = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung
      Application[2] = 1.3.6.1.5.5.8.2.2 IP-Sicherheits-IKE, dazwischenliegend

    CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=0
      Issuer: CN=RCA Credit Agricole Group, OU=0002 784608416, OU=Private Group PKI, O=Credit Agricole Group, C=FR
      NotBefore: 24.02.2015 01:00
      NotAfter: 24.02.2027 01:00
      Subject: CN=CA Credit Agricole Server, OU=0002 784608416, OU=Private Group PKI, O=Credit Agricole Group, C=FR
      Serial: 1120b61e37c12e9c8d5a9f77552e810db73c
      Cert: 681a0f7d0ac4a2e76ab08c06ebb57eca3b2ad340
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Zertifikat abrufen  ----------------
      Keine URLs "Keine" Zeit: 0 (null)
      ----------------  Zertifikat abrufen  ----------------
      Überprüft "Basissperrliste (07)" Zeit: 0 dde2e40c60185fa7d1cb25bf5f46a3bccbd912b5
        [0.0] http://crl-priv-pki.credit-agricole.fr/arl/rootgca.crl

      ----------------  Basissperrliste veraltet  ----------------
      Keine URLs "Keine" Zeit: 0 (null)
      ----------------  Zertifikat-OCSP  ----------------
      Keine URLs "Keine" Zeit: 0 (null)
      --------------------------------
        CRL 07:
        Issuer: CN=RCA Credit Agricole Group, OU=0002 784608416, OU=Private Group PKI, O=Credit Agricole Group, C=FR
        ThisUpdate: 24.02.2021 01:00
        NextUpdate: 24.04.2022 01:00
        CRL: dde2e40c60185fa7d1cb25bf5f46a3bccbd912b5

    CertContext[0][2]: dwInfoStatus=10a dwErrorStatus=0
      Issuer: CN=RCA Credit Agricole Group, OU=0002 784608416, OU=Private Group PKI, O=Credit Agricole Group, C=FR
      NotBefore: 24.02.2015 01:00
      NotAfter: 24.02.2045 01:00
      Subject: CN=RCA Credit Agricole Group, OU=0002 784608416, OU=Private Group PKI, O=Credit Agricole Group, C=FR
      Serial: 11200e177bff2b10aeb99cd9a59347a3b397
      Cert: c3a1920a242e3e6b68a423c48b20a173451e916f
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Zertifikat abrufen  ----------------
      Keine URLs "Keine" Zeit: 0 (null)
      ----------------  Zertifikat abrufen  ----------------
      Keine URLs "Keine" Zeit: 0 (null)
      ----------------  Zertifikat-OCSP  ----------------
      Keine URLs "Keine" Zeit: 0 (null)
      --------------------------------

    Exclude leaf cert:
      Chain: 879dc42c01d9842fb16f7adfc925ad78f5421297
    Full chain:
      Chain: c1095ebbf29573553664f0674a50adea9d6cf3e2
    ------------------------------------
    Verfizierte Ausstellungsrichtlinien:
        1.2.250.1.316.1.1.6.1
    Verfizierte Anwendungsrichtlinien:
        1.3.6.1.5.5.7.3.2 Clientauthentifizierung
        1.3.6.1.5.5.7.3.1 Serverauthentifizierung
        1.3.6.1.5.5.8.2.2 IP-Sicherheits-IKE, dazwischenliegend
    Sperrstatussüberprüfung des untergeordneten Zertifikats erfolgreich abgeschlossen.
    CertUtil: -verify-Befehl wurde erfolgreich ausgeführt.


    Best regards Andreas Ernst MCITP:EA, MCP, MCTS, MCSA 2016


    Mittwoch, 24. März 2021 09:40
  • Moin,

    ...und das ist von einem Client, der versucht, die Verbindung herzustellen? Er kommt ja scheinbar nicht an das CA-Zertifikat (AIA) und auch nicht an OCSP, obwohl beide veröffentlicht sind...


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 24. März 2021 10:00
  • Hallo Evgenij,

    ja Du hast recht von einem Win10 Client der ohne Firewall und Proxy im Internet hängt. Treibt mich in den Wahnsinn. Hast Du eine Idee wo ich noch forschen könnte?


    Best regards Andreas Ernst MCITP:EA, MCP, MCTS, MCSA 2016

    Mittwoch, 24. März 2021 10:04
  • Ich kriege diese URLs auch nicht. Das hat die CA offenbar versaubeutelt. 

    Vielleicht waren diese URLs ja bei OVH gehostet ;-)


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 24. März 2021 10:29

  • Vielleicht waren diese URLs ja bei OVH gehostet ;-)


    Man weis es nicht ;) ich werde mal beim Admin der CA nachforschen.

    Ich bin leider nicht so tief in dem "Zertifikats-Game". Aber ich dachte wenn er an die CRL kommt ist OCSP nicht mehr zwingend erforderlich sondern eher ein zusätzlicher Weg wen die CRL nicht verfügbar ist. 


    Best regards Andreas Ernst MCITP:EA, MCP, MCTS, MCSA 2016


    Mittwoch, 24. März 2021 10:51
  • Das entscheidet letztendlich die validierende Applikation. Aber er kommt ja auch nicht an die AIA-Info. Wenn man sie nicht bereitstellt (als CA), darf sie auch nicht in den ausgestellten Zertifikaten enthalten sein.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert Andreas Ernst Mittwoch, 24. März 2021 13:03
    Mittwoch, 24. März 2021 11:03