none
SubCA Service startet nicht mehr RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    ich habe hier eine Server 2012 R2 2 Tier PKI am laufen. Die RootCA ist offline, als Standalone und in einer Workgroup. Die SubCA befindet sich in der Domäne als Enterprise CA.

    Die Konstellation lief auch schon mal - und ich habe auch nichts verändert :D

    Leider startet nun die SubCA den ADCS Service nicht mehr und stoppt mit der Fehlermeldung:

    Im Ereignislog finden sich folgende Einträge:

    48, System, Warning:

    Der Sperrstatus eines Zertifikats in der Kette des Zertifizierungsstellenzertifikats 0 für SubCA konnte nicht verifiziert werden, da der Server momentan nicht verfügbar ist. Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE).

    100, System, Error:

    Die Active Directory-Zertifikatdienste wurden nicht gestartet: Das aktuelle Zertifizierungsstellenzertifikat konnte nicht geladen bzw. verifiziert werden. SubCA Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE).

    7024, System, Error:

    Der Dienst "Active Directory-Zertifikatdienste" wurde mit dem folgenden dienstspezifischen Fehler beendet:
    Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.

    In der PKI View (pkiview.msc) sieht das ganze dann auch so aus:

    Meine Kenntnisse von ADCS sind nur rudimentär. Ich habe bereits das ignorieren der Sperrlisten aktiviert:

    "certutil –setreg caCRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE"

    Allerdings auch ohne jeglichen Erfolg.

    Da man mit den mir vorliegenden Fehlermeldungen bei Google vom 100sten ins 1000stel kommt und keine der offensichtlichen Lösungen für mich funktionieren, nun die Frage an Euch:

    Kann mir hier jemand helfen?

    Ich freue mich auf Antworten.

    Freundliche Grüße

    Sandro

    Montag, 15. Februar 2016 15:21
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    Du musst eine aktuelle Sperrliste der Root CA veröffentlichen.

    AUf der Root CA die Zertifizierungsstelle öffenen, Rechtsklick auf Gesperrte Zertifikate ... veröffentlichen ... neue Sperrliste.

    I.d.R. findest Du die Sperrliste hier: C:\Windows\System32\certsrv\CertEnroll

    Die crl-Datei dann an die Veröffentlichungspunkte (CPD) übertragen. Ggf. den Dateinamen anpassen (RootCA.crl)

    btw. die AIA und CDP sehen etwas "wild" aus. Der Zugriff über unc Pfade (file://) ist meistens nicht gewünscht.

    This posting is provided AS IS with no warranties.

    • Als Antwort markiert SandroReiter Donnerstag, 18. Februar 2016 09:01
    Montag, 15. Februar 2016 18:34
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    Du musst eine aktuelle Sperrliste der Root CA veröffentlichen.

    AUf der Root CA die Zertifizierungsstelle öffenen, Rechtsklick auf Gesperrte Zertifikate ... veröffentlichen ... neue Sperrliste.

    I.d.R. findest Du die Sperrliste hier: C:\Windows\System32\certsrv\CertEnroll

    Die crl-Datei dann an die Veröffentlichungspunkte (CPD) übertragen. Ggf. den Dateinamen anpassen (RootCA.crl)

    btw. die AIA und CDP sehen etwas "wild" aus. Der Zugriff über unc Pfade (file://) ist meistens nicht gewünscht.

    This posting is provided AS IS with no warranties.

    • Als Antwort markiert SandroReiter Donnerstag, 18. Februar 2016 09:01
    Montag, 15. Februar 2016 18:34
    |
  • Question
    Anmelden
    0
    Anmelden

    Danke für den Hinweis. Wie kann es denn dazu kommen dass das nun auf einmal nicht mehr funktioniert? Die Sperrlisten habe ich bereits einmal veröffentlicht und dann als alles lief und Zertifikate ausgestellt wurden, die Root CA heruntergefahren.

    Kann ich jetzt mit einer Regelmäßigkeit des Fehlers rechnen?

    Ich habe hierzu folgendes gefunden, weiß aber nicht inwiefern mir das hilft bzw. wie ich es am besten konfiguriere ohne ständig die RootCA an der Hand zu haben:

    Certutil -setreg CA\CRLPeriod Months

    Certutil -setreg CA\CRLPeriodUnits 6

    Certutil -setreg CA\CRLOverlapPeriod Weeks

    Certutil -setreg CA\CRLOverlapUnit 4

    Certutil -setreg CA\CRLDeltaPeriodUnit 0

    btw. die AIA und CDP sehen etwas "wild" aus. Der Zugriff über unc Pfade (file://) ist meistens nicht gewünscht.

    Wie wäre es besser? Wie kann ich das umstellen auf eine dennoch funktionierende Variante? :)

    Danke und freundliche Grüße

    Sandro



    Montag, 15. Februar 2016 20:16
    |
  • Question
    Anmelden
    1
    Anmelden

    Bei einer Offline Root CA müssen die Sperrlisten regelmäßig manuell veröffentlicht werden. Das ist keine technische Fehlfunktion.

    Bei uns wird jedes Jahr ein Wartungsplan für die PKI erstellt. Dabei werden alle anfallenden manuellen Tätigkeiten und die dazu benötigten Personen festgelegt. Eine PKI besteht zu 90% aus Bürokratie ;-)

    Bevor Du die Einstellungen der Root CA anpasst solltest Du ersteinmal schauen, wie es aktuell konfiguriert ist. Dazu reicht ein 'certutil -dump [crl-datei]'

    Da findest Du Informationen, wann die Sperrliste veröffentlich wurde (Diese Aktualisierung), bis wann die Spelliste gültig ist (Nächste Aktualisierung) und wann frühestens eine neue Sperrliste veröffentlicht werden kann (Nächste Sperrlistenveröffentlichung).

    Daraus ergibt sich, dass die nächste Sperrliste zwischen Nächste Sperrlistenveröffentlichung und Nächste Aktualisierung veröffentlicht werden muss.

    Ein Sperrlisten Intervall von 6 Monaten mit 2-4 Wochen Überlappung ist für eine Root CA nicht unüblich.

    ---

    Viele Themen sind bei PKI Definitionssache. I.d.R. erfolgen diese Definitionen vor Inbetriebnahme und werden in einem CPS (Certificate Practice Statement) festgehalten.

    Ich würde erst mal überlegen, wie die PKI aussehen und betrieben werden soll. Erst danach kann man sich Gedanken machen, ob und wie die bestehende Umgebung anzupassen ist.

    https://blogs.technet.microsoft.com/askds/2009/09/01/designing-and-implementing-a-pki-part-i-design-and-planning/

    Buchtip: Brian Komar - PKI & Certificate Security

    • ISBN-10: 0735625166
    • ISBN-13: 978-0735625167


    This posting is provided AS IS with no warranties.

    Dienstag, 16. Februar 2016 05:55
    |
  • Question
    Anmelden
    0
    Anmelden

    Danke für die Info,

    hat mir sehr geholfen.

    Freitag, 2. Dezember 2016 08:19
    |