none
AD CA Удаление crl и AIA RRS feed

  • Вопрос

  • Всем привет!

    Имеем в AD инфраструктуру PKI, состоящую из:
    1. Root CA (Windows Server 2008 R2)
    2. Subordinate CA 1 (Windows Server 2008 R2)
    3. Subordinate CA 2 (Windows Server 2016)

    Стоит задача корректно вывести из инфраструктуры Subordinate CA 1.

    При развертывании PKI планировалось, что Root CA будет преимущество в оффлайне, и на нем были сконфигурированы расположения AIA и CRL, указывающие по http на Subordinate CA 1 и Subordinate CA 2.

    Для корректности хочу удалить с Root CA расположения CRL и AIA, указывающие на Subordinate CA 1. Захожу в настройки Root CA, на вкладку Extension, успешно удаляю, а из оснастки Enterprise PKI они никуда не деваются. Мало того, еще и ругань идет, если crl просрочен.

    Господа, подскажите, как корректно удалить с Root CA расположения crl и AIA? Буду очень благодарен!
    16 апреля 2020 г. 11:33

Ответы

  • Всем привет!

    Имеем в AD инфраструктуру PKI, состоящую из:
    1. Root CA (Windows Server 2008 R2)
    2. Subordinate CA 1 (Windows Server 2008 R2)
    3. Subordinate CA 2 (Windows Server 2016)

    Стоит задача корректно вывести из инфраструктуры Subordinate CA 1.

    При развертывании PKI планировалось, что Root CA будет преимущество в оффлайне, и на нем были сконфигурированы расположения AIA и CRL, указывающие по http на Subordinate CA 1 и Subordinate CA 2.

    Для корректности хочу удалить с Root CA расположения CRL и AIA, указывающие на Subordinate CA 1. Захожу в настройки Root CA, на вкладку Extension, успешно удаляю, а из оснастки Enterprise PKI они никуда не деваются. Мало того, еще и ругань идет, если crl просрочен.

    Господа, подскажите, как корректно удалить с Root CA расположения crl и AIA? Буду очень благодарен!

    Ругань (хотелось бы, кстати, о ней поподробнее - что за ругань и когда возникает) на CRL идет, скорее всего, из-за расширения CDP, прописанного в цепочке - в сертификате подчиненного CA, который выдал сертификат, используемый службой (если вы перевыпустили сертификаты служб, это должен быть Subordinate CA 2). Проверьте для начала его сертификат.

    PS Есть обходное решение: после отключения Subordinate CA 1 изменить запись A для его имени, чтобы она указывала на Subordinate CA 2.


    Слава России!

    16 апреля 2020 г. 22:57
  • Subordinate CA 1 удалил.

    Ругань вот такая: https://yadi.sk/i/Qyz_ErJOIs7kww

    Вот эти CDP #2 и AIA #2 каким образом можно удалить? В Extension рутового центра их нет.

    А, ну это - ругань не особо страшная, не та, про которую я написал выше - при проверке сертификата - и которая реально нарушает функционирование PKI. 

    Но само по себе эта ругань - странная, раз вы пишете, что корректно убрали убранный точки распространения через HTTP из CDP и AIA: потому как эти данные насколько я знаю, хранятся локально на CA (в реестре: ключ HKLM\System\CCS\Services\CertSvc\Configuration\<имя_CA>, параметры CRLPublicationUrls и CACertPublicationUrls - они там записаны в сыром виде, через переменные).


    Слава России!

    17 апреля 2020 г. 17:51

Все ответы

  • Так пробовали?
    16 апреля 2020 г. 13:07
  • Здесь удаляются объекты из AD старого удаленного CA.

    При этом для каждого CA - один объект в AD для CDP, один объект для AIA.

    У нас чуть иначе дело обстоит. Старый подчиненный CA не удален, удалить надо всего одно совпадение AIA и CDP для рутового СА, т.е. оставить CDP и AIA, указывающие на новый подчиненные и удалить CDP и AIA, указывающие на старый подчиненный. Что в таком случае в AD удалять? Объекты CDP и AIA для рутового? Страшновато... 

    16 апреля 2020 г. 13:42
  • Всем привет!

    Имеем в AD инфраструктуру PKI, состоящую из:
    1. Root CA (Windows Server 2008 R2)
    2. Subordinate CA 1 (Windows Server 2008 R2)
    3. Subordinate CA 2 (Windows Server 2016)

    Стоит задача корректно вывести из инфраструктуры Subordinate CA 1.

    При развертывании PKI планировалось, что Root CA будет преимущество в оффлайне, и на нем были сконфигурированы расположения AIA и CRL, указывающие по http на Subordinate CA 1 и Subordinate CA 2.

    Для корректности хочу удалить с Root CA расположения CRL и AIA, указывающие на Subordinate CA 1. Захожу в настройки Root CA, на вкладку Extension, успешно удаляю, а из оснастки Enterprise PKI они никуда не деваются. Мало того, еще и ругань идет, если crl просрочен.

    Господа, подскажите, как корректно удалить с Root CA расположения crl и AIA? Буду очень благодарен!

    Ругань (хотелось бы, кстати, о ней поподробнее - что за ругань и когда возникает) на CRL идет, скорее всего, из-за расширения CDP, прописанного в цепочке - в сертификате подчиненного CA, который выдал сертификат, используемый службой (если вы перевыпустили сертификаты служб, это должен быть Subordinate CA 2). Проверьте для начала его сертификат.

    PS Есть обходное решение: после отключения Subordinate CA 1 изменить запись A для его имени, чтобы она указывала на Subordinate CA 2.


    Слава России!

    16 апреля 2020 г. 22:57
  • Subordinate CA 1 удалил.

    Ругань вот такая: https://yadi.sk/i/Qyz_ErJOIs7kww

    Вот эти CDP #2 и AIA #2 каким образом можно удалить? В Extension рутового центра их нет.

    17 апреля 2020 г. 8:43
  • Subordinate CA 1 удалил.

    Ругань вот такая: https://yadi.sk/i/Qyz_ErJOIs7kww

    Вот эти CDP #2 и AIA #2 каким образом можно удалить? В Extension рутового центра их нет.

    А, ну это - ругань не особо страшная, не та, про которую я написал выше - при проверке сертификата - и которая реально нарушает функционирование PKI. 

    Но само по себе эта ругань - странная, раз вы пишете, что корректно убрали убранный точки распространения через HTTP из CDP и AIA: потому как эти данные насколько я знаю, хранятся локально на CA (в реестре: ключ HKLM\System\CCS\Services\CertSvc\Configuration\<имя_CA>, параметры CRLPublicationUrls и CACertPublicationUrls - они там записаны в сыром виде, через переменные).


    Слава России!

    17 апреля 2020 г. 17:51
  • Вот в реестре как раз нет ничего лишнего, только то, что в свойствах в Extension записано...

    Очень странно.

    18 апреля 2020 г. 8:41