none
Probleme mit Zertifikaten nach CA Migration bei VPN über L2TP/IPSec RRS feed

  • Frage

  • Hallo zusammen,

    ch habe vergangenen Freitag eine Unternehmens-CA (Standard-Server) von einem Server auf einen neuen Server umgezogen. Ziel- und Quellsystem sind jeweils Windows Server 2008 R2 und Domain Controller. Der Quell-Server ist mittlerweile via dcpromo herabgestuft, aus der Domäne genommen und ausgeschaltet.

    Den Umzug habe ich nach dem Migrationsplan in Technet (http://technet.microsoft.com/en-us/library/ee126140%28WS.10%29.aspx) durchgeführt. Nachdem sich die Servernamen geändert haben, habe ich ebenfalls gemäß Anleitung die notwendigen Schritte durchgeführt.

    Am Zielserver ist nun die CA aktiv und ich kann von den Clients und Servern aus Zertifikate anfragen und bekomme auch ein gültiges Zertifikat ausgestellt.

    Unsere Laptops sind via L2TP/IPSec basierend auf Zertifikaten an den Firmensitz angebunden. Der Client und der jeweilige User haben gültige Zertifikate installiert und die Zertifikatskette ist ebenfalls ohne Fehler.

    Seit der Umstellung können sich die Clients nicht mehr via L2TP/IPSec im Netzwerk anmelden. Beim Verbinden via eingerichteter VPN-Verbindung erscheint nach der Information "Benutzername und Kenntwort werden überprüft" die Fehlermeldung:

    "Fehler 853: Die RAS-Verbindung wurde abgeschlossen, jedoch trat bei der Authentiziierung ein Fehler auf, da das zum Authentifizieren des Clients beim Server verwendete Zertifikat ungültig ist. Stellen Sie sicher, dass das für die Authentifizierung verwendete Zertifikat gültig ist."

    Im Servermanager unter Active Directory Zertifikatsdienste --> Unternehmens-PKI --> CA Name erhalte ich eine Fehlermeldung, dass der DeltaCRL-Speicherort #1 abgelaufen sei. Beim genaueren hinsehen konnte ich entdecken, dass im Ort unter ldap:///CN=CA-Name,CN=Servername der alte Servername des alten Servers hinterlegt ist. Ist das evtl. das Problem?

    Hat jemand eine Idee wie ich den Speicherort wieder zum Laufen bekomme?

    Danke und Grüße,

    André

    Montag, 28. November 2011 17:10

Alle Antworten

  • Hallo André,

    der neue CA Server benötigt den gleichen Netzwerknamen wie der Alte. Du kannst keiner CA einen neuen Namen geben ohne das alle Zertifikate für ungütig erklärt werden und Du für jeden Rechner bzw. Benutzer neue Zertifikate ausstellst. In den Zertifikate selbst steht ja der Pfad zur CRL. Die zeigt auf den alten Servernamen.

    Viele Grüße

    Frank

     


    -- Frank Röder blog.iteach-online.de --
    Montag, 28. November 2011 18:39
  • Hallo Frank,

    hm... aber wie ist dann im Migrationsplan zu verstehen, dass sich der Servername (Hostname) ändern darf nur der Name der CA nicht? Bei mir ist der CA Name gleich geblieben. Nur der Servername hat sich verändert. Laut der Beschreibung in diesem Abschnitt sollte das doch klappen oder?

    Danke Dir und Grüße,

    To edit the CA registry settings

    1. Click Start, type regedit.exe in the Search programs and files box, and press ENTER to open the Registry Editor.

    2. In the console tree, locate the key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration, and click Configuration.

    3. In the details pane, double-click DBSessionCount.

    4. Click Hexadecimal. In Value data, type 64, and then click OK.

    5. Verify the locations specified in the following settings are correct for your destination server, and change them as needed to indicate the location of the CA database and log files.

      • DBDirectory

      • DBLogDirectory

      • DBSystemDirectory

      • DBTempDirectory

      ImportantImportant
      Complete steps 6 through 8 only if the name of your destination server is different from the name of your source server.

       

    6. In the console tree of the registry editor, expand Configuration, and click your CA name.

    7. Modify the values of the following registry settings by replacing the source server name with the destination server name.

      noteNote
      In the following list, CACertFileName and ConfigurationDirectory values are created only when certain CA installation options are specified. If these two settings are not displayed, you can proceed to the next step.

       

      • CAServerName

      • CACertFileName

      • ConfigurationDirectory – This value should appear in Windows Registry under the following location: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration
    Montag, 28. November 2011 18:52
  • Guten Morgen,

    ich habe soeben mal den BPA für die Zertifikatsdienste laufen lassen und er meckerte, dass keine Sperrlisten angelegt seien. Dazu habe ich dann die Webdienste installiert und eine Sperrliste auf http://servername/certenroll angelegt und im Zertifikatsmanager unter CAName --> Eigenschaften --> Erweiterungen mit http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl angelegt.

    Der BPA Fehler ist danach verschwunden, allerdings bekomme ich nun folgende Fehler in der Zertifikatsdienste Konsole. Siehe Bild.

    Was mich ein wenig stuzig macht ist, dass a) der Speicherort für Sperrlisten-Verteilungspunkte abläuft und der DeltaCRL bereits abgelaufen ist. Beim DeltaCRL wird allerdings noch auf den alten Server verwiesen. Ist das evtl. das Problem?

    Aktuell wird intern z.B. per IE den Zertifikaten der CA vertraut und es bestehen auch keine Fehler, nur im VPN gibt es noch Probleme.

    Hat jemand von Euch eine Idee?

    Danke Euch und Grüße,

    André

     

    Dienstag, 29. November 2011 09:49
  • Hallo André,
    du musst noch die Berechtigungen im AD anpassen. Aktuell hat nur das Computerobjekt der alten CA die Berechtigung um CRLs ins AD zu schreiben. Die notwendigen Schritte sind unter [1] beschrieben.

    [1] http://technet.microsoft.com/en-us/library/ee126140(WS.10).aspx#BKMK_GrantPermsAIA 

    Viele Grüße,
    Florian Raichle
    TechNet Hotline für TechNet Online Deutschland

    Disclaimer:
    Bitte haben Sie Verständnis dafür, dass wir hier auf Rückfragen gar nicht oder nur sehr zeitverzögert antworten können.
    Bitte nutzen Sie für Rückfragen oder neue Fragen den telefonischen Weg über die TechNet Hotline:

    TechNet Hotline: Schnelle & kompetente Hilfe für IT-Pros: kostenfrei!

    Es gelten für die TechNet Hotline und dieses Posting diese Nutzungsbedingungen, Hinweise zu Markenzeichen sowie die allgemein gültigen Informationen zur Datensicherheit sowie die gesonderten Nutzungsbedingungen für die TechNet Hotline.

    Dienstag, 29. November 2011 14:56
    Moderator
  • Hi Florian,

    ich habe die Einstellungen gerade überprüft. Sollten passen. Wenn ich mich richtig erinnere, hatte ich diese Schritte schon bei der Migration durchgeführt.

    Hast Du noch eine Idee woran es noch liegen könnte?

    Danke Dir und Grüße,

    André

    Dienstag, 29. November 2011 15:59
  • Hallo André,

    ist denn der CDP der alten CA noch erreichbar? Also http://alterserver/Certenroll/CAname.crl? Weil dieser Pfad ist ja noch in bereits ausgestellten Zertifikaten enthalten. Üblich ist es, hier im DNS einen CName "Alter Server" anzulegen und diesen auf den neuen Server zeigen zu lassen. Bezüglich der AD-Berechtigungen, hast du den CA-Dienst nach dem Setzen der Berechtigungen einmal neugestartet?


    Viele Grüße,
    Florian Raichle
    TechNet Hotline für TechNet Online Deutschland

    Disclaimer:
    Bitte haben Sie Verständnis dafür, dass wir hier auf Rückfragen gar nicht oder nur sehr zeitverzögert antworten können.
    Bitte nutzen Sie für Rückfragen oder neue Fragen den telefonischen Weg über die TechNet Hotline:

    TechNet Hotline: Schnelle & kompetente Hilfe für IT-Pros: kostenfrei!

    Es gelten für die TechNet Hotline und dieses Posting diese Nutzungsbedingungen, Hinweise zu Markenzeichen sowie die allgemein gültigen Informationen zur Datensicherheit sowie die gesonderten Nutzungsbedingungen für die TechNet Hotline.

    Dienstag, 29. November 2011 16:13
    Moderator
  • Hi Florian,

    sorry für die späte Antwort. Ich war gestern außer Haus und konnte mich erst jetzt wieder damit befassen.

    Nein, der alte Server ist nicht mehr erreichbar. Laut Migrationplan sollte ja der alte Server, bevor die CA auf den neuen Server aktiviert wird, aus der Domäne genommen und heruntergefahren werden.

    Der CName hatte bei mir noch gefehlt. Ich habe diesen nun gesetzt und über den Link http://alterserver/Certenroll/CAname.crl ist vom Domänencontroller aus einwandfrei erreichbar. Jedoch ist der Fehler am Client immer noch vorhanden... :-(

    Ja, den Dienst hatte ich danach mehrmals neugestartet.

    Grüße,

    Donnerstag, 1. Dezember 2011 09:12
  • Hallo zusammen,

    hat jemand von Euch noch eine Idee?

    Danke Euch,

    André

    Montag, 5. Dezember 2011 13:03
  • Hallo André,

    soweit ich das verstanden habe tritt weiterhin der Fehler 853 an den Clients auf und der DeltaCRL-Speicherort ist abgelaufen. Stimmt das?

    Standardmäßig werden die CRLs und DeltaCRLs unter "Systemroot\system32\CertSrv\CertEnroll\" gepublished (siehe [1]). Hast Du diesen Pfad in den Einstellungen der CA auf dem Tab Extensions (CRL Distribution Point markiert) eingetragen und die beiden Haken "Publish CRLs to this location" und "Publish Delta CRLs to this location" gesetzt?

    [1] http://technet.microsoft.com/en-us/library/cc778151(WS.10).aspx (Manually publish the certificate revocation list)

    Viele Grüße,
    Benedict Schendzielorz
    TechNet Hotline für TechNet Online Deutschland

    Disclaimer:
    Bitte haben Sie Verständnis dafür, dass wir hier auf Rückfragen gar nicht oder nur sehr zeitverzögert antworten können.
    Bitte nutzen Sie für Rückfragen oder neue Fragen den telefonischen Weg über die TechNet Hotline:

    TechNet Hotline: Schnelle & kompetente Hilfe für IT-Pros: kostenfrei!

    Es gelten für die TechNet Hotline und dieses Posting diese Nutzungsbedingungen, Hinweise zu Markenzeichen sowie die allgemein gültigen Informationen zur Datensicherheit sowie die gesonderten Nutzungsbedingungen für die TechNet Hotline.

    Montag, 5. Dezember 2011 14:58
    Moderator
  • Hallo Benedict,

    richtig, die Clients bekommen via VPN weiter die Fehlermeldung 853. Sowohl der DELTACrl-Speicherort als auch der Speicherort für Sperrlisten-Verteilungspunkte ist abgelaufen.

    Wie von Dir beschrieben habe ich zusätzlich noch Systemroot\system32\CertSrv\CertEnroll\ in den Erweiterungen hinterlegt. Wenn ich dann auf "Veröffentlichen" unter "Gesperrte Zertifikate" klicke, bekomme ich die Fehlermeldung:

    "Eine Datei kann nicht erstellt werden, wenn sie bereits vorhanden ist. 0x800700b7 (WIN32/HTTP:183)"

    Die beiden Sperrlisten bleiben danach immer noch im Status "Abgelaufen" stehen.

    Kann man die alte und abgelaufenen Sperrlisten nicht einfach löschen und neue anlegen oder denke ich hier zu einfach? ;-)

    Danke und Grüße,

    André

    Montag, 5. Dezember 2011 16:07