Remove From My Forums

Offlince Root XCA - Zertifizierungsstellenzertifikat - Sperrstatus unbekannt

Frage
0

Anmelden
Hallo zusammen,

ich habe in meiner Testumgebung folgende Spezifikationen:

- RootCA: XCA (offline)

- SubCA Server: Windows Server 2016

- SubCA Client: Windows Server 2016

Was habe ich bisher gemacht:

- Requests und Zertifkate für die SubCA gestellt (ohne CRL)

- Nachdem ich gemerkt habe das die CRL fehlt, habe ich diese auf der RootCA exportiert und via

C:\Windows\System32\certsrv\CertEnroll>certutil -dspublish -f "Test Root CA.crl" "Test Root CA" ldap:///CN=Test Root CA,CN=Test Root CA,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=testing,DC=net?certificateRevocationList Basissperrliste wurde zum Verzeichnisdienstspeicher hinzugefügt. CertUtil: -dsPublish-Befehl wurde erfolgreich ausgeführt.

zum LDAP hinzugefügt.

Leider verbleibt der Status (geprüft mit 'pkiview.msc') der SubCAs auf 'Rot' -> Zertifizierungsstellenzertifikat - Sperrstatus unbekannt

Hab ich noch was vergessen oder muss ich das komplette SubCA Zertifikat erneuern?
Dienstag, 12. Februar 2019 09:01

Antworten

|

Zitieren

Alle Antworten

0

Anmelden

Moin,

Du musst in das SubCA-Zertifikat (oder in PKIView) schauen, welche CDP-Pfade dort veröffentlicht sind. In exakt diesen Pfaden sucht die prüfende Instanz auch nach der CRL, nirgendwo sonst.
Evgenij Smirnov

I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> https://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

In theory, there is no difference between theory and practice. In practice, there is.

Dienstag, 12. Februar 2019 09:12

Antworten

|

Zitieren
0

Anmelden

Hallo Evgenij,

danke für deine Antwort.

In der PKIView stehen bei beiden SubCA, die jeweils eigenen CRL Pfade drin.

Dienstag, 12. Februar 2019 10:25

Antworten

|

Zitieren
0

Anmelden

und bei der Root?
Evgenij Smirnov

I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> https://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

In theory, there is no difference between theory and practice. In practice, there is.

Dienstag, 12. Februar 2019 10:58

Antworten

|

Zitieren
0

Anmelden

In der pkiview fehlen die Einträge für die Sperrliste der RootCA (Offlice - XCA).

Mittwoch, 13. Februar 2019 07:37

Antworten

|

Zitieren
0

Anmelden

OK, aber welche Pfade hat die Root CA im Zertifikat der SubCA mitgegeben? Dort kannst Du sie ja in der Erweiterung "SperrlistenVerteilungspunkt" direkt sehen.

Wenn da keine stehen, kann der Sperrstatus des SubCA-Zertifikats nicht validiert werden.
Evgenij Smirnov

I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> https://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

In theory, there is no difference between theory and practice. In practice, there is.

Mittwoch, 13. Februar 2019 08:38

Antworten

|

Zitieren
0

Anmelden
Hallo Evgenij,

erneut danke für deine Hilfe.

Ich sehe grade bei der XCA dass ich beim Signieren der CSR der SubCA ein 'X509v3 CRL Distribution Points' Constraint setzen kann. Dieser ist wahrscheinlich gemeint?

Das heisst ich werde die SubCAs nochmal deinstallieren, neu installieren und diesen Wert auf:

ldap:///CN=Test Root CA,CN=Test Root CA,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=testing,DC=net?certificateRevocationList

setzen, nachdem ich die Liste per

C:\Windows\System32\certsrv\CertEnroll>certutil -dspublish -f "Test Root CA.crl" "Test Root CA"

publizert habe.

Sehe ich das korrekt?
Mittwoch, 13. Februar 2019 13:03

Antworten

|

Zitieren
0

Anmelden

Moin,

entweder das, oder, falls er einen HTTP-Pfad reingeschrieben hat, kannst Du den Pfad erstellen und die CRL dorthin hochladen.
Evgenij Smirnov

I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> https://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

In theory, there is no difference between theory and practice. In practice, there is.

Mittwoch, 13. Februar 2019 14:31

Antworten

|

Zitieren
0

Anmelden

Hi,

danke für die Hilfe/Hinweise.

Ich habe es nun per http gelöst und es scheint zu funktionieren:

Donnerstag, 14. Februar 2019 07:31

Antworten

|

Zitieren