Jump to content

Sperrliste kann in AD nicht veröffentlicht werden

viper990

Von viper990
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

viper990 Proficient

viper990   10

Geschrieben
Geschrieben

Hallo zusammen,

 

habe ne RootCa erstellt und versuche nun die Sperrliste manuell ins AD zu veröffentlichen.

Dabei bekomme ich folgende Fehlermeldung:

 

######
C:\>certutil -dspublish -f RootCA.crl

ldap:///CN=RootCA,CN=Servername,CN=CDP,CN=Public Key Services,CN=Services,D
C=UnavailableConfigDN?certificateRevocationList?base?objectClass=cRLDistribution
Point?certificateRevocationList

ldap: 0xa: 0000202B: RefErr: DSID-031006E0, data 0, 1 access points
       ref 1: 'unavailableconfigdn'

CertUtil: -dsPublish-Befehl ist fehlgeschlagen: 0x8007202b (WIN32: 8235)
CertUtil: Eine Referenzauswertung wurde vom Server zurückgesendet.
#######

In der LDAP Zeile nach Services müßte nach meinem Verständniss der Domänenpfad auftauchen.
Wenn man sich die Sperrliste anzeigen läßt, steht dasselbe drin.

Ich habe alle Änderungen in ein Nachinstallationsscript (zwecks Doku) geschrieben, der ensprechende Aufruf lautet:

certutil -setreg CA\CRLPublicationURLs "65:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n79:ldap:///CN=<CATruncatedName><CRLNameSuffix>,<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=Domänenname,DC=local<CDPObjectClass>\n6:http://192.168.0.214/CertData/%%3%%8%%9.crl"

Sieht hier jemmand nen Fehler oder werden noch andere Infos benötigt?

 

Für Hilfe wie immmer sehr dankbar

Gruß

ViPeR

olc Veteran

olc   18

Geschrieben
Geschrieben

Hallo viper999,

 

Ich habe alle Änderungen in ein Nachinstallationsscript (zwecks Doku) geschrieben, der ensprechende Aufruf lautet:

 

certutil -setreg CA\CRLPublicationURLs "65:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n79:ldap:///CN=<CATruncatedName> <CRLNameSuffix>,<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=Domänenname,DC=local<CDPObjectClass>\n 6:http://192.168.0.214/CertData/%%3%%8%%9.crl"

 

Ich denke, daß hier der Fehler liegt:

 

79:ldap:///CN=<CATruncatedName><CRLNameSuffix>,<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=Domänenname,DC=local<CDPObjectClass>

 

Wenn Du tatsächlich im Script z.B. <CATruncatedName> und die weiteren Platzhalter aufgenommen hast anstatt der entsprechenden Variablen, kann es hier zu Problemen kommen. Versuche es einmal mit:

 

certutil -setreg CA\CRLPublicationURLs "65:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n79:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=Public Key Services,CN=Services,%%6%%10\n6:http://192.168.0.214/CertData/%%3%%8%%9.crl\n0:file://\\%%1\CertEnroll\%%3%%8%%9.crl"

 

Bei der "file://" Angabe solltest Du den Pfad noch einmal gegenprüfen, scheinbar hast Du ihn anders gewählt als den Standard. Weiterhin würde ich mir überlegen, ob ich tatsächlich eine IP-Adresse als Webserver URL angeben würde. Ein CNAME ist schnell im DNS angelegt und unter Umständen langlebiger als eine IP-Adresse. :)

 

Viele Grüße

olc

viper990 Proficient

viper990   10

Geschrieben
  • Autor
Geschrieben

Hallo Olc,

 

vielen Dank für die Antwort, werde es gleich mal probieren.

Habe mitlerweile herausgefunden das

C:\>certutil -dspublish -f RootCA.crl RootCA

die Veröffentlichung erzwingt und es "funktioniert".

 

Mittlerweile mit dem MS-Support gesprochen, die sind

der Meinung das es ein Planungsfehler ist/sein könnte.

 

Ich habe in zwei Büchern von MS diese Sch... Anleitung gefunden und war der Meinung auf einem guten Weg zu sein.

Mittlerweile stelle ich das ganze wieder in Frage und bin ein wenig entmutigt. :confused:

Für 60Mann der Aufwand oder lieber doch nur eine Ca..?

 

Frage:

Ist der Sperrlistenveröffentlichungspunkt im AD von der RootCa gut gewählt oder eher untypisch?

Die Fehlermeldung UnavailableConfigDN? sagt doch nur aus das er keine Verbindung zum Ad hat.

Die Ca ist in ner Arbeitsgruppe. Jage ich jetzt ein Ente?

 

Gruß

Viper

olc Veteran

olc   18

Geschrieben
Geschrieben

Hallo viper999,

 

Habe mitlerweile herausgefunden das

C:\>certutil -dspublish -f RootCA.crl RootCA

die Veröffentlichung erzwingt und es "funktioniert".

 

Na ja - funktionieren ist relativ. Damit erzwingst Du das Schreiben eines falschen Veröffentlichungspunkts; Du hast nun wahrscheinlich einen nichtssagenden Container mehr im AD - die Clients bekommen davon nichts mit, denn sie schauen nur auf den korrekten Store, nicht auf den falschen von Dir "erzwungenen".

 

Soll heißen: Deine CRL ist auch nach dem Erzwingen nicht wirklich veröffentlicht.

 

Mittlerweile mit dem MS-Support gesprochen, die sind der Meinung das es ein Planungsfehler ist/sein könnte.

 

Das können wir hier so nicht beurteilen - Du hast nichts weiter zu Deiner Umgebung geschrieben. Bisher ging es nur um den Veröffentlichungspunkt der CRL. ;)

 

Ich habe in zwei Büchern von MS diese Sch... Anleitung gefunden und war der Meinung auf einem guten Weg zu sein.

Mittlerweile stelle ich das ganze wieder in Frage und bin ein wenig entmutigt. :confused:

 

Um welche Bücher handelte es sich denn? Auf welcher Seite der Bücher hast Du die oben von Dir aufgeführte Kommandozeile gefunden? Wenn es so in einem Buch stehen würde, wäre das ein grober Schnitzer. Ich vermute eher, daß es beim Übertrag nicht ganz korrekt gelaufen ist oder?

 

Für 60Mann der Aufwand oder lieber doch nur eine Ca..?

 

Siehe oben - bisher war nur von der Root-CA die Rede.

 

Frage:

Ist der Sperrlistenveröffentlichungspunkt im AD von der RootCa gut gewählt oder eher untypisch?

 

Ja, ich denke schon. Es kann durchaus Szenarien geben, wo dies nicht unbedingt gewünscht ist. Ist z.B. eine CRL sehr groß, kannst Du neben Performanceproblemen der AD auch Timeouts beim Abrufen der CRLs über LDAP bekommen. Dann müßte auch hier etwas "umkonfiguriert" werden.

 

In den meisten Fällen ist es jedoch keine schlechte Idee, die CRLs über die AD zu verteilen. Zusätzlich sollten natürlich auch weitere Verteilungspunkte vorhanden sein, so z.B. per HTTP oder FTP (was bei Dir ja der Fall ist).

 

Die Fehlermeldung UnavailableConfigDN? sagt doch nur aus das er keine Verbindung zum Ad hat.

 

Nein, im Grunde gibst Du ja den vollkommen falschen Pfad zum Configuration NC an - damit kann dieser auch nicht gefunden werden.

 

Die Ca ist in ner Arbeitsgruppe. Jage ich jetzt ein Ente?

 

Führst Du denn das certutil -dspublish auf der Root-CA selbst aus? Falls ja solltest Du natürlich (neben der Anpassung der Kommandozeile - siehe oben) die CRL über ein System in die AD schieben, welches Zugriff auf dieselbige hat und Du auch die entsprechenden Benutzerrechte zur Veröffentlichung verfügst.

 

Daß Die Root-CA in einer Arbeitsgruppe ist, ist grundsätzlich erst einmal kein Problem und in vielen Umgebungen so gewünscht. Das kommt ganz auf die gewünschte Konfiguration / Umgebung an.

 

Viele Grüße

olc

viper990 Proficient

viper990   10

Geschrieben
  • Autor
Geschrieben

Hallo Olc,

also das Buch ist von Brian Komar - MS W2003 PKI und Zertifikatsicherheit

Bin wie beschrieben ab Seite 107 vorgegangen.

 

Zu meiner Planung: Ich möchte eine zweistufige Hierarchie erstellen,

eine eigenständige OfflineCa und zwei untergeordnete UnternehmensCa.

 

Zur vollständigen Übersicht hier mal das komplette Script:

(Die Zeile mit der CRLPublicationURLs habe ich einmal wie ich oben geschrieben und wie im Buch (+dir) getestet.)

certutil -setreg CA\DSConfigDN CN=Configuration,DC=MyDomain,DC=local

 

certutil -setreg CA\CRLPeriodUnits 26

certutil -setreg CA\CRLPeriod "Weeks"

certutil -setreg CA\CRLDeltaPeriodUnits 0

certutil -setreg CA\CRLDeltaPeriod "Days"

 

certutil -setreg CA\CRLPublicationURLs "65:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n79:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=Public Key Services,CN=Services,%%6%%10\n6:http://192.168.0.214/CertData/%%3%%8%%9.crl"

 

certutil -setreg CA\CaCertPublicationURLs "1:%windir%\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n3:ldap:///CN=%%7,CN=AIA,CN=Public Key Services,CN=Services,%%6%%11\n2:http://192.168.0.214/CertData/%%1_%%3%%4.crt"

 

certutil -setreg CA\AuditFilter 127

 

certutil -setreg CA\ValidityPeriodUnits 10

certutil -setreg CA\ValidityPeriod "Years"

certutil -setreg CA\CRLOverlapUnits 14

certutil -setreg CA\CRLOverlapPeriod "Days"

 

net stop certsvc & net start certsvc

 

Den Punkt mit der Zwischenzertifizierungsstelle habe ich übersprungen

und dann ab Seite 117 mit der ausstellenden Ca weitergemacht.

 

Die .crl füge ich natürlich von einem DC mit dem DomAdmin ein.

 

Jetzt bin ich mal gespannt :)

 

Beste Grüße

ViPeR

olc Veteran

olc   18

Geschrieben
Geschrieben

Hi viper,

 

also das Buch ist von Brian Komar - MS W2003 PKI und Zertifikatsicherheit

Bin wie beschrieben ab Seite 107 vorgegangen.

 

Gutes Buch. Deutsche oder englische Ausgabe? ;)

 

Zu meiner Planung: Ich möchte eine zweistufige Hierarchie erstellen,

eine eigenständige OfflineCa und zwei untergeordnete UnternehmensCa.

 

Klingt gut. :) Aber warum zwei Issuing CAs? Denke nicht, daß Du bei der Mitarbeitergröße zwei ausstellende CAs brauchst oder? Willst Du das Management damit regeln?

 

Zur vollständigen Übersicht hier mal das komplette Script:

(Die Zeile mit der CRLPublicationURLs habe ich einmal wie ich oben geschrieben und wie im Buch (+dir) getestet.)

certutil -setreg CA\DSConfigDN CN=Configuration,DC=MyDomain,DC=local

 

certutil -setreg CA\CRLPeriodUnits 26

certutil -setreg CA\CRLPeriod "Weeks"

certutil -setreg CA\CRLDeltaPeriodUnits 0

certutil -setreg CA\CRLDeltaPeriod "Days"

 

certutil -setreg CA\CRLPublicationURLs "65:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n79:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=Public Key Services,CN=Services,%%6%%10\n6:http://192.168.0.214/CertData/%%3%%8%%9.crl"

 

certutil -setreg CA\CaCertPublicationURLs "1:%windir%\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n3:ldap:///CN=%%7,CN=AIA,CN=Public Key Services,CN=Services,%%6%%11\n2:http://192.168.0.214/CertData/%%1_%%3%%4.crt"

 

certutil -setreg CA\AuditFilter 127

 

certutil -setreg CA\ValidityPeriodUnits 10

certutil -setreg CA\ValidityPeriod "Years"

certutil -setreg CA\CRLOverlapUnits 14

certutil -setreg CA\CRLOverlapPeriod "Days"

 

net stop certsvc & net start certsvc

 

Also auf die Schnelle kann ich in diesem Script keinen Fehler erkennen. Aber das ist ja schon das modifizierte, nicht das Ursprungsscript oder? Was heißt, daß Du beide Varianten getestet hast? Das von Dir gerade gepostete Script sollte gut sein.

 

Sollten zum jetzigen Zeitpunkt schon Zertifikate ausgestellt sein, solltest Du diese dann erneuern - sonst sind die CRL-Pfade darin nicht korrekt.

 

Die .crl füge ich natürlich von einem DC mit dem DomAdmin ein.

 

Ok, wie oben geschrieben - es liegt nicht daran, daß kein DC erreichbar ist, sondern am falschen Configuration NC. Aber das sollte ja jetzt geklärt sein. :)

 

Jetzt bin ich mal gespannt :)

 

Meld Dich einmal, ob es geklappt hat.

 

Viele Grüße

olc

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...