none
Veröffentlichen einer Zertifikatssperrliste über http RRS feed

  • Frage

  • Hallo zusammen,

    in Verbindung mit einer Remote Desktop Farm habe ich eine AD integrierte Zertifizierungsstelle installiert. Damit sichere ich alle RDP Verbindungen ab. Intern funktioniert alles prima. Wenn ich eine RemoteAPP von extern öffne, erscheint eine Fehlermeldung, dass die Sperrliste nicht überprüft werden kann. Mit certutil.exe bekomme ich folgende Fehlermeldung:

      Gescheitert "OCSP" Zeit: 0
        Fehler beim Abrufen der URL: Unzulässige Methode (405). 0x80190195 (-2145844843)
        /CertEnroll/<Zertifikatname>-CA.crt">http://<SERVERNAME>/CertEnroll/<Zertifikatname>-CA.crt

    Wenn ich den Pfad allerdings manuell aufrufe, kann ich das Zertifikat öffnen.

    hat jemand eine Idee?

    vielen Dank

    Gruß

    Martin

    Freitag, 16. März 2012 07:46

Antworten

  • Moin,

    die Datei, die du oben abrufst ist keine Sperrliste sonder das zertifikat der CA selbst ...

    Für die Sperrliste muss es einen änlichen Pfad geben, der mit .clr endet. Der Eintrag mit dem Pfad zur Sperrliste kommt wie du schon beschrieben hast über dei Erweiterungen der CA. Danach musst du natürlich das Serverzertifikat neu erstellen. Du kannst den Pfad im Zertifikat überprüfen. Dort findest du auf der Karte "Detail" den Punkt Sperrlistenveröffentlichung. Wenn durt mehrere Pfade eingetragen sinde, werden diese alle durchprobiert. Dazwischen gibt es einen recht hohen Timout. Ich würde die http-Veröffentlichung als erstes eintragen.

    Bei einer 2008 R2 CA gibt es auch ein Tool für die MMC mit dem Namen Enterprise PKI. Damit kannst du alle Veröffentlichungspunkte mit einem Blick überprüfen.


    Viele Grüße Carsten

    Montag, 19. März 2012 07:30

Alle Antworten

  • Wie hast du die Sperrliste extern abrufbar gemacht?

    Guido Over MCITP Server Administrator 2008

    Freitag, 16. März 2012 09:42
  • Certsrv - Eigenschaften Server - Erweiterungen - http://<ServerDNSName>... + http://externeDNSName...

    Hacken bei "Sperrliste an diesem Ort veröffentlichen" gesetzte

    Dienste Neu Starten

    Serverzertifikat neu erstellen.

    Freitag, 16. März 2012 10:14
  • Moin,

    die Datei, die du oben abrufst ist keine Sperrliste sonder das zertifikat der CA selbst ...

    Für die Sperrliste muss es einen änlichen Pfad geben, der mit .clr endet. Der Eintrag mit dem Pfad zur Sperrliste kommt wie du schon beschrieben hast über dei Erweiterungen der CA. Danach musst du natürlich das Serverzertifikat neu erstellen. Du kannst den Pfad im Zertifikat überprüfen. Dort findest du auf der Karte "Detail" den Punkt Sperrlistenveröffentlichung. Wenn durt mehrere Pfade eingetragen sinde, werden diese alle durchprobiert. Dazwischen gibt es einen recht hohen Timout. Ich würde die http-Veröffentlichung als erstes eintragen.

    Bei einer 2008 R2 CA gibt es auch ein Tool für die MMC mit dem Namen Enterprise PKI. Damit kannst du alle Veröffentlichungspunkte mit einem Blick überprüfen.


    Viele Grüße Carsten

    Montag, 19. März 2012 07:30
  • Danke für die Hilfe!
    Ich hatte zwar die http Seite richtig angegeben, aber vergessen einen Sperrlistenpfad zu veröffentlichen... (über LDAP)

    Montag, 19. März 2012 08:25