locked
Problem mit CA / Zertifizierungsstelle - Sperrinformationen nicht in ausgestellte Zertifikate einschließen (betrifft nur Windows Server 2008 R2 RRS feed

  • Frage

  • Hallo CA Fans,

    in meiner Zertifizierungsstelle in meinem Testlab, dupliziere ich das Webserver Zertifikat und wähle bei dem Reiter:
    Server Sperrinformationen nicht in ausgestellte Zertifikate einschließen (betrifft nur Windows Server 2008 R2)

    Wenn ich dieses Zertifikat aber wieder auf einem W2k8R2 einlesen will kommt jedesmal die Fehlermeldung:

    Die Sperrfuntion konnte keine Sperrprüfung für das Zertifikat durchführen.

    Fehler beim Erstellen bzw. Veröffentlichen des Zertifikats. Die angeforderte  ID lautet 40

    Ich habe die CA und den CRL auch schon neu erstellt.

    Danke im vorraus.

    Mittwoch, 28. Dezember 2011 15:13

Alle Antworten

  • Hi Forefront Fan,

    zuerst: Du bist hier im falschen Forum. Hier geht es um die Forefront Produkte :-)
    Zu Deinem Problem: Ich habe das eben mal mit einer Windows Server 2008 R2 Enterprise CA nachgestellt und es funzt einwandfrei:
    1) Neues Webserver Template erstellen - CRL Infos nicht speichern
    2) Neues Webserver Template fuer die CA ausstellen (Rechtsklick Zertifikatvorlagen in CA Verwaltung)
    3) Dann auf einem Windows Server 2008 R2 mit der MMC ein Zertifikat basierend auf der neuen Vorlage ausstellen
    4) Wenn ich dann in die Eigenschaften des neu erstellten Zertifikats klicke, sehe ich auch kein Feld CRL Distribution Points
    hast Du das genauso gemacht?
    BTW: Warum willst Du keine CRL Informationen in den Zertifikaten? Ist doch eigentlich eine essentielle Sicherheitsfunktion bei der Cryptographie?!


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Mittwoch, 28. Dezember 2011 19:38
  • Moin,

    einen neue Sperrliste erstellen bringt nichts, wenn der Client nocht weiß, wo er die abfragen soll ... Die Frage von Marc ist berechtigt, warum willst du keine Sperrinformationen ins Zertifikat eintragen ?


    Viele Grüße Carsten
    Donnerstag, 29. Dezember 2011 08:00
  • Hi,

    bist Du bei Deiner Problemloesung weiter gekommen?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 5. Januar 2012 07:51
  • Hallo,

    es ist nur ein Phänomen in meiner neuen Testumgebung (in der Alten hat es funktioniert), sobald ich den Haken bei:

    Server Sperrinformationen nicht in ausgestellte Zertifikate einschließen (betrifft nur Windows Server 2008 R2) setze,

    wie es laut meinem TestLabGuide_DemonstrateUAG_DA auch beschrieben wird, funktioniert das wiedereinlesen nicht mehr?


    Ich hatte Probleme mit dem DirectAccess und vermutet es liegt daran, aber es war nur, ein nicht mehr aktuellem IP-HTTPS Zertifikat.

    Nutze doch gerne diese Sicherheitsfunktion...:)

    Danke

    Donnerstag, 5. Januar 2012 17:17
  • Ich denke wegen der Vorlage bekommen beim Aufruf des Portals die Sicherheitswarnung:

    Eine Sperrprüfung für das Zertifikat ist fehlgeschlagen. Möglicherweise steht der Sperrserver  nicht zur Verfühgung. Möchten Sie den Vorgang fortsetzen?

    Es funzt alles und ich kann auch den gesamten Umfang des Portals nutzen.


    Ich werde den Beitrag auch in die CA Forumsecke posten.

    Montag, 4. Juni 2012 12:47
  • Hi,

    ja, dann enthaelt das ausgestellte Zertifikat noch den CDP und der Portalprozess versucht die CRL per HTTP/File/LDAP zu erreichen. Wie sehen denn die Zertifikatproperties aus bzgl. des Sperrlistenveroeffentlichungspunkts?
    Hast Du schon mal ein neues Zertifikat basierend auf der Vorlage ohne Speicherung der Sperrlisteninformationen ausgestellt?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Montag, 4. Juni 2012 17:23
  • Hi,

    ich antworte auch hier darauf ;)

    Rufe die Webseite mal mit dem Browser manuell auf und lass dir das Zertifikat anzeigen. Auf der Registerkarte Details findest du den im Zertifikat eingetragenen Sperrlistenverteilerpunkt. Den kannst du mit Strg-C kopieren und als URL im Browser öffnen. Wenn dann kein Sperrlistendownload angeboten wird, ist der Pfad nicht erreichbar.

    Du musst dir als erstes einen Webserver suchen, auf dem du die Sperrliste veröffentlichen kannst. (Kann auch das Verzeichnis certenroll auf der CA sein). Diesen Webserver (das Verzeichnis) musst du dann is Internet veröffentlichen. Der Pfad muss dann auch auf der CA unter Eigenschaften/Ereiterungen eingetragen werden. Danach kannst du ein neues Webserverzertifikat ausstellen. Dort sollte dann der korrekte Pfad enthalten sein. Wenn alles passt, lässt sich das Zertifilat von extern prüfen.

    Für Direct Access ist dies besonders wichtig für das Computer Zertifikat, das vom UAG verwendet wird.


    Viele Grüße Carsten

    Dienstag, 5. Juni 2012 09:59
  • Hi,

    stimme Carsten zu: Auch wenn Du eine Testumgebung hast, willst Du es doch richtig machen? Dafuer hast Du ja eine Testumgebung. Also:
    Publishen:
    http://www.isaserver.org/tutorials/Secure-CDP-publishing-Forefront-TMG-HTTP-filter.html
    http://blogs.technet.com/b/tomshinder/archive/2010/08/03/how-to-configure-uag-to-publish-your-private-certificate-revocation-list.aspx
    Oder:
    Die CRL per Robocopy Job und scheduled Task exportieren und auf einem oeffentlich erreichbaren Server ablegen. Bei beiden Loesungen muss der CDP natuerlich DNS technisch erreichbar sein


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Dienstag, 5. Juni 2012 19:59
  • Ja will ich und deshalb die Posts. Leider ist die Umgebung gerade nicht einsatzfähig. Melde mich wieder.
    Mittwoch, 13. Juni 2012 15:10