naison 10 Geschrieben 28. Dezember 2009 Melden Teilen Geschrieben 28. Dezember 2009 Hallo zusammen, folgende Situation: -RootCa (Offline) W2k8 -SubCA W2k8 Benutzer Vorlagen angepasst und an die Test Gruppe ausgerollt. Enrollment funktioniert automatisch, die GPO wurde diesbezüglich angepasst. Das Enrollment funktioniert ohne Probleme, über die mmc-->Zertifikate kann das ausgestellte Zertifikat an einen User geprüft werden und die dazugehörige AD Objekte sind vorhanden. Es werden jedoch keine CRLs heruntergeladen,lädt man diese manuell runter, funktioniert alles wunderbar. Via Pkiview.msc wurde die Zertifizierungsstelle geprüft und alle CRL Distribution Points sind verfügbar und der Status ist OK. Kann mir evtl. jemand erklären wieso die CRLs nicht automatishc auf den Client geladen werden? Vielen Dank für eure Rückmeldungen. Grüße Naison Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 28. Dezember 2009 Melden Teilen Geschrieben 28. Dezember 2009 Hi Naison, welchen CRL und Delta CRL Veröffentlichungsintervall hast Du denn gewählt? Die Clients ziehen die CRL bzw. Delta CRL erst, wenn der nächste Zeitpunkt erreicht ist. Den nächsten Veröffentlichungszeitpunkt solltest Du zum Beispiel in einer per GUI geöffneten CRL sehen. Über welches Client OS sprechen wir? Welche Optionen hast Du in der entsprechenden GPO gewählt (Benutzer + Computer Einstellungen)? Viele Grüße olc Zitieren Link zu diesem Kommentar
naison 10 Geschrieben 29. Dezember 2009 Autor Melden Teilen Geschrieben 29. Dezember 2009 Hi, ich habe folgende CRL Intervalle eingestellt. Basis CRL 3Tage Delta CRL 12 Stunden In der GPO wurden nur Benutzer-Anpassungen vorgenommen: Zertifikate automatisch registrieren. Abgelaufene Zertifikate aut. aktualisieren Zertifikate aktualisieren, die Zertifikatvorlagen verwenden Client: Windows 7 Der nächste CRL Aktualisierung erfolgt am 30 Dez. gegen 21 Uhr. Habe ich das richtig verstanden, dass die CRLs nicht sofort bei der Zertifikatausstellung ebenfalls auf den Client heruntergeladen werden? Vielen Dank für deine hilfreichen Informationen. Gruß Naison Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 29. Dezember 2009 Melden Teilen Geschrieben 29. Dezember 2009 Hi Naison, sobald ein Client eine CRL heruntergeladen hat, ruft er die nächste CRL erst herunter, wenn der Gültigkeitszeitszeitraum der aktuellen CRL abgelaufen ist. Bei Dir wird die Delta CRL alle 12 Stunden ausgestellt, d.h. alle 12 Stunden wird diese auch abgerufen werden, minus die "Overlap Period", die Du definiert hast. Ab Vista gibt es die (supportete) Möglichkeit, diesen sogenannten CRL-Cache auch vorher zu leeren, um somit den erneuten Abruf der CRLs zu initiieren. Aber einmal anders gefragt: Worum geht es Dir genau - wurden Zertifikate zurückgezogen, die nicht korrekt in der (Delta) CRL auftauchen? Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.