naison

Hi, ich habe folgende CRL Intervalle eingestellt. Basis CRL 3Tage Delta CRL 12 Stunden In der GPO wurden nur Benutzer-Anpassungen vorgenommen: Zertifikate automatisch registrieren. Abgelaufene Zertifikate aut. aktualisieren Zertifikate aktualisieren, die Zertifikatvorlagen verwenden Client: Windows 7 Der nächste CRL Aktualisierung erfolgt am 30 Dez. gegen 21 Uhr. Habe ich das richtig verstanden, dass die CRLs nicht sofort bei der Zertifikatausstellung ebenfalls auf den Client heruntergeladen werden? Vielen Dank für deine hilfreichen Informationen. Gruß Naison

Hallo zusammen, folgende Situation: -RootCa (Offline) W2k8 -SubCA W2k8 Benutzer Vorlagen angepasst und an die Test Gruppe ausgerollt. Enrollment funktioniert automatisch, die GPO wurde diesbezüglich angepasst. Das Enrollment funktioniert ohne Probleme, über die mmc-->Zertifikate kann das ausgestellte Zertifikat an einen User geprüft werden und die dazugehörige AD Objekte sind vorhanden. Es werden jedoch keine CRLs heruntergeladen,lädt man diese manuell runter, funktioniert alles wunderbar. Via Pkiview.msc wurde die Zertifizierungsstelle geprüft und alle CRL Distribution Points sind verfügbar und der Status ist OK. Kann mir evtl. jemand erklären wieso die CRLs nicht automatishc auf den Client geladen werden? Vielen Dank für eure Rückmeldungen. Grüße Naison

Vielen Dank für die Aufklärung, bringt mich weiter.

Servus, ich bin gerade dabei eine zweischichtige Test-PKI Umgebung zu realisieren. Als Basis dient Windows 2008 Ent. Server (für alle PKI Server) Die RootCa "Offline" ist konfiguriert sowie die SubCa. Wir planen in Zukunft VPN, Webserver über Zertifikate abzusichern, laut meiner Info sollten die Sperrlisten hierfür extern extern verfügbar sein. Die Veröfentlichungsintervale sind wie folgt: SubCA Basissperrlisten:2Tage Deltasperrlisten:4 Stunden Veröffentlichungspunkte: AD, Webserver-Extern, SubCA Webserver Fragen: 1) ist es möglich die Veröffentlichung auf den externen Webserver so zu konfigurieren das die Sperrlisten automatisch verteilt werden? Oder ist hierfür ein Script notwendig der per FTP die Sperrlisten auf den externen Webserver kopiert? 2) Kann man die Veröffentlichungspunkte der Sperrlisten nachträglich ändern/erweitern , wenn bereits Zertifikate an User ausgerollt wurden und diese auf die neuen Sperrlisten an den erweiterten V.Orten zugreiffen sollen? 3) Geplant ist ebenfalls eine weitere SubCA -->Ausfallsicherheit Mal angenommen die erste SubCA fällt aus, anhand von welchen Informationen werden z.b die Sperrlisten erstellt--die zweite SubCA besitzt ja keine Informationen über Zertifikate die bereits erstellt wurden? Bin für jede Anregung dankbar. Gruß