Aufbau PKI Fehler
Frage
-
Hallo Community,
Ich versuche gerade eine zweistellige PKI aufzubauen, bekomme aber beim Enrollment der Zertifikate einen Fehler:
Wenn ich ein certutil -urlcache crl eingebe, wird aber wie ich es sehe korrekt ausgegeben. Die CRL ist öffentlich einsehbar.
Aufgesetzt habe ich die RootCA mit folgender CaPolicy.inf
[Version] Signature=”$Windows NT$” [PolicyStatementExtension] Policies=GuebauInternalPolicy, GuebauCustomerPolicy [GuebauInternalPolicy] OID=1.3.6.1.4.1.51300.1 URL=http://pki.guebau.de/internalpolicy Notice="Guebau Internal Policy" [GuebauCustomerPolicy] OID=1.3.6.1.4.1.51300.2 URL=http://pki.guebau.de/customerpolicy Notice="Guebau Customer Policy" [BasicConstraintsExtension] PathLength=1 Critical=true [Certsrv_Server] RenewalKeyLength=4096 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=30 CRLPeriod=weeks CRLPeriodUnits=52 CRLOverlapPeriod=weeks CRLOverlapPeriodUnits 4 LoadDefaultTemplates=false AlternateSignatureAlgorithm=1
Die Issuing CA mit folgender CaPolicy.inf:
[Version] Signature=”$Windows NT$” [PolicyStatementExtension] Policies=GuebauInternalPolicy [GuebauInternalPolicy] OID=1.3.6.1.4.1.51300.1 URL=http://pki.guebau.de/internalpolicy Notice="Guebau Internal Policy" [Certsrv_Server] RenewalKeyLength=2048 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=10 CRLPeriod=weeks CRLPeriodUnits=1 CRLDeltaPeriod=days CRLDeltaPeriodUnits=1 CRLOverlapPeriod=hours CRLOverlapPeriod=5 LoadDefaultTemplates=0 AlternateSignatureAlgorithm=1 [CRLDistributionPoint] URL=http://pki.guebau.de/GUEBAUROOTCA.crl [AuthorityInformationAccess] URL=http://pki.guebau.de/GUEBAUROOTCA.crt
Das der öffentliche Schlüssel des Root Zertifikats, sowie die Sperrliste davon wurde per certutil -dspublish im AD veröffentlicht und wird auch korrekt verteilt. Ebenfalls finden sich diese per unter http://pki.guebau.de
Habe ich hier einen Fehler bei den Grundeinstellungen gemacht? Oder liege ich da beim suchen ganz falsch?
Viel Dank schonmal!
Gruß, Joejoe
Antworten
-
Moin,
hab's mir gerade angeschaut. Aufgefallen ist mir
Das hat durchaus schon Leute gebissen, siehe https://pkisolutions.com/pkcs1v2-1rsassa-pss/
Dann sehe ich noch keine AIA im SubCA-Zertifikat, aber vielleicht ist es einfach nur zu früh am Morgen ;-)
Evgenij Smirnov
I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> https://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com
In theory, there is no difference between theory and practice. In practice, there is.
- Als Antwort markiert Joejoearmany Donnerstag, 5. April 2018 09:59
Alle Antworten
-
Der Webserver wird extern gehostet, da muss ich eh nochmal anrufen, weil die Deltasperrliste wegen dem + Zeichen nicht hochgeladen werden kann. Wenn das gar nicht geht, muss ich sowieso ohne Delta machen. Die Zertifikate und Sperrlisten sind wie gesagt auf http://pki.guebau.de . Da können die von jedem eingesehen werden. Trotzdem hier nochmal ein Screenshot aus der IssueCA CRT Datei:
-
Moin,
hab's mir gerade angeschaut. Aufgefallen ist mir
Das hat durchaus schon Leute gebissen, siehe https://pkisolutions.com/pkcs1v2-1rsassa-pss/
Dann sehe ich noch keine AIA im SubCA-Zertifikat, aber vielleicht ist es einfach nur zu früh am Morgen ;-)
Evgenij Smirnov
I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> https://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com
In theory, there is no difference between theory and practice. In practice, there is.
- Als Antwort markiert Joejoearmany Donnerstag, 5. April 2018 09:59
