none
2003PKI: 2 Enterprise Subordinate CAs, gleiche Templates, bestimmte werden nur von einer CA ausgestellt RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    hi,

     

    ich habe folgendes Problem:

    ich habe 2 Subordinate CAs in meinem Netz die beide unter der gleichen RootCA "haengen".

    Beide CAs stehen im gleichen Netz. Keine hat die Windowsfirewall aktiviert.

    Beide CAs haben div. Templates die Certificate per Autorenrollment oder manuell aushaendigen koennen.

    Die Templates auf den CAs sind gleich konfiguriert.

    Nun habe ich z.b. ein Template (Memberserver).

    Wenn ich nun von einem 2008 R2 Server im gleichen Netz wie die CAs mir versuche ein Zertifikat des Templates Memberserver zu beziehen dann bekomme ich das immer von der CA2.

    Ueber die MMC und Request New Certificate waehle ich das Cert aus und klicke auf Enroll.

    Nun kann ich jedoch auch ueber die Properties und Certificate Authority nachsehen welche CAs sich ueberhaupt im Netz befinden.

    Hier wird mir ja auch eine Reihenfolge angezeigt:
    CA2
    CA1

    nehme ich den Haken bei CA2 weg so dass eigentlich CA1 das Zertifikat ausstellen muesste so bekomme ich folgende Fehlermeldung:

    The RPC server is unavailable.

    Wenn ich statt einem ''Memberserver-Zertifikat" z.B. ein EFS-User Zertifikat ausstellen moechte so kann ich waehlen und es wird mir anstandlos von beiden CAs ausgestellt..

    Hat hier jemand eine Idee warumd as so sein koennte? Ich finde das Verhalten sehr seltsam.

    Vielen Dank vorab.

    VG

    Donnerstag, 15. September 2011 11:53
    |

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden

    Nachtrag:
     
    In der Gruppe: Certificate Service DCOM Access ist \Everyone berechtigt
     
    Ein

    certutil -ping -config "ca1.domaene.de\CA1"
    certutil -ping -config "ca2.domaene.de\CA2"
     
    liefert bei beiden local sowie von dem Server wo es nicht geht
    Server "CA1" ICertRequest2 interface is alive
    CertUtil: -ping command completed successfully

    Server "CA2" ICertRequest2 interface is alive
    CertUtil: -ping command completed successfully

    Keine der CAs laeuft auf einem DC

     


    • Bearbeitet teccy Donnerstag, 15. September 2011 12:24
    Donnerstag, 15. September 2011 12:15
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hi,

    ich gehe davon aus, das beide CAs auf 2003 Enterprise Edition laufen.

    Hast du die Webregistrierung auf den CAs installiert ? Wenn ja, verscuhe es mal über diesen Weg. Dann gibt es evt. eine Fehlermeldung von der Webseite oder du siehst, das die angebotenen Vorlagen vieleicht doch nicht gleich sind.

    Wenn die Anforderung fehlschlägt, kannst du auch mal auf der CA unter fehlgeschlagene Anforderungen nachsehen.

    Es lohnt sich natürlich auch immer ein Blick ins Eventlog ....

    Ist die Restlaufzeit der beiden CAs identisch ? Wenn die Restlaufzeit der ersten CA kleiner ist, als die Laufzeit des Webserverzertifikates, kann sie dieses nicht ausstellen. Dann muss das Zertifikat der CA erneurt werden.

     

    Viele Grüße Carsten
    Mittwoch, 21. September 2011 04:55
    |