gnoovy 10 Geschrieben 10. Januar 2010 Melden Teilen Geschrieben 10. Januar 2010 hi leutz, habe eine Unternehmens-CA installiert und eine untergeordnete CA erstmals in einer Testumgebung. Wenn ich jetzt die Root-CA offline schalten möchte, muss man ja die AIA und die CRLs auf die untergeordnete CA umstellen. Bitte korrigiert mich wenn ich da falsch liege ;) Nun meine Frage: Wie kann ich jetzt genau beide Punkte umziehen? Ich weiß in den eigenschaften einer CA im Zertifizierungsstellen-SnapIn gibt es diese Punkte, weiß nur nicht genau wie anwenden. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 10. Januar 2010 Melden Teilen Geschrieben 10. Januar 2010 Hi gnoovy, die CRLs zieht man im Normalfall nicht um (das geht auch nicht "einfach so"), sondern legt diese direkt bei der Installation der offline CA entsprechend fest, so daß es beim Abschalten der offline CA keine Probleme gibt. Das Problem ist, daß die AIA und CRL nun in dem ausgestellten Zertifikat der Subordinate CA steht - Du müßtest also das Sub-CA Zertifikat mit neuen AIA und CRL Lokationen erneuern. Wie lauten denn die AIA und CRL Pfade der Root-CA? Verweisen diese ausschließlich direkt auf die Root-CA (etwa HTTP)? Viele Grüße olc Zitieren Link zu diesem Kommentar
gnoovy 10 Geschrieben 10. Januar 2010 Autor Melden Teilen Geschrieben 10. Januar 2010 (bearbeitet) naja ich befasse mich erst gerade mit Zertifizierungsstellen... Die Frage ist ob ich überhaupt etwas umziehen muss. Blicke da noch net genau durch... ich habe auch auf der untergeordneten CA den Online-Responder, Webzertifizierungsdienst installiert. Kann ich jetzt die Root-CA nicht einfach abschalten? anbei mal nen Screenshot von dem Punkt, an dem die einzelnen Punkte umgezogen werden können. bearbeitet 10. Januar 2010 von gnoovy Zitieren Link zu diesem Kommentar
gnoovy 10 Geschrieben 10. Januar 2010 Autor Melden Teilen Geschrieben 10. Januar 2010 Hier die Screenshots zur CA. Ist der Punkt "Zugriff auf Stelleninformation" die AIA? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 10. Januar 2010 Melden Teilen Geschrieben 10. Januar 2010 Hi, entscheident sind die AIA und CRL Informationen im Zertifikat der Sub-CA. Die müßtest Du einmal posten. Wenn diese Einstellungen auf die Root-CA zeigen, dann solltest Du diese nicht abschalten. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
gnoovy 10 Geschrieben 10. Januar 2010 Autor Melden Teilen Geschrieben 10. Januar 2010 hi olc, okay hier der Post der übergeordneten CA. Sieht eigentlich genau gleich aus he... Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 11. Januar 2010 Melden Teilen Geschrieben 11. Januar 2010 Hi, auch auf die Gefahr hin, mich zu wiederholen - ich meine das Zertifikat, nicht die CA Einstellungen. Viele Grüße olc Zitieren Link zu diesem Kommentar
gnoovy 10 Geschrieben 11. Januar 2010 Autor Melden Teilen Geschrieben 11. Januar 2010 hi olc, sorry hoffe du lachst mich jetzt nicht aus, aber wo ist dieses Zertifikat und wie kann ich da die Einstellungen einsehen? Wie gesagt befasse mich noch nicht solange mit dieser Thematik. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 12. Januar 2010 Melden Teilen Geschrieben 12. Januar 2010 Hi Gnoovy, kein Problem. :) Öffne eine MMC auf der Sub-CA. Dort fügst Du das SnapIn "Zertifikate" hinzu - bei Nachfrage den "Computer" Teil. Dann schaust Du in den "Zwischenzertifizierungsstellen" (ich hoffe der deutsche Name ist korrekt, sonst heißt es irgendwie ähnlich) und Du suchst das Zertifikat der Sub-CA heraus. Nach dem Doppelklick auf das Zertifikat schaust Du in den Details nach der AIA und der CRL. Bitte poste einmal die URLs, die darin stehen. Danach klickst Du auf "Export" des Zertifikats, exportierst es ohne privaten Schlüssel in eine DER-encoded *.cer Datei. Gegen diese Datei läßt Du folgendes Kommando laufen: C:\> certutil -verify -urlfetch Zertifikat.cer Die Ausgabe postest Du hier, bitte ebenso die Daten entfernen, die nicht in ein öffentliches Forum gehören (Firmennamen etc.). Viele Grüße olc Zitieren Link zu diesem Kommentar
gnoovy 10 Geschrieben 12. Januar 2010 Autor Melden Teilen Geschrieben 12. Januar 2010 Hi Olc, bezüglich Sicherheit ist das kein Problem. Momentan läuft das alles noch virtuell in Testumgebungen. Die Domäne lautet winnet.local. Habe die Stelle der Zertifikate gefunden, allerdings finde ich in den Detaileinstellungen keine Pfadangaben zu den CRL / AIA... Habe diesbezüglich mal zwei Screenshots gemacht. Hoffe ich habe das richtige Zertifikat gewählt, he... Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 13. Januar 2010 Melden Teilen Geschrieben 13. Januar 2010 Hi, der certutil Export fehlt. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
gnoovy 10 Geschrieben 13. Januar 2010 Autor Melden Teilen Geschrieben 13. Januar 2010 hi olc, he... ich weiß ich wollte nur wissen ob das bisher richtig war... Wenn ja erfolgt der Export morgen und vielen Dank für die Geduld mit mir ;) Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 14. Januar 2010 Melden Teilen Geschrieben 14. Januar 2010 Hi, ja, das war der richtige Weg und die beiden Winnet Zertifikate sind interessant. Poste einfach den Certutil Export von beiden Zertifikaten, nachdem Du diese in eine *.cer Datei exportiert hast. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
gnoovy 10 Geschrieben 14. Januar 2010 Autor Melden Teilen Geschrieben 14. Januar 2010 hi olc, also habe beide winnet-CA1-CA Zertifikate exportiert als DER-Codiert und den certutil-befehl darauf laufen lassen. Das Zertifikat winnet-CA2-CA-Zertifikat hab ich erstmals weggelassen. Die ganzen Zertifikate sind ja in meinem Screenshot zu sehen. Anbei mal die Ausgaben beider Zertifikate. Er hat da auch Fehler gemeldet. Sind diese schlimm? 1 Zertifikat: ***************** Aussteller: CN=winnet-CA1-CA DC=winnet DC=local Antragsteller: CN=winnet-CA1-CA DC=winnet DC=local Zertifikatseriennummer: 78939857d759f28c415ea06987aad49c dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000) dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000) ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000) HCCE_LOCAL_MACHINE CERT_CHAIN_POLICY_BASE -------- CERT_CHAIN_CONTEXT -------- ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) CertContext[0][0]: dwInfoStatus=10c dwErrorStatus=0 Issuer: CN=winnet-CA1-CA, DC=winnet, DC=local NotBefore: 10.01.2010 21:30 NotAfter: 10.01.2015 21:40 Subject: CN=winnet-CA1-CA, DC=winnet, DC=local Serial: 78939857d759f28c415ea06987aad49c 10 8d 9d 21 c8 84 77 84 e9 c1 09 a0 8a f1 ab 16 5c 4e ae 65 Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4) Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ---------------- Zertifikat abrufen ---------------- Keine URLs "Keine" Zeit: 0 ---------------- Zertifikat abrufen ---------------- Keine URLs "Keine" Zeit: 0 ---------------- Zertifikat-OCSP ---------------- Keine URLs "Keine" Zeit: 0 -------------------------------- Exclude leaf cert: da 39 a3 ee 5e 6b 4b 0d 32 55 bf ef 95 60 18 90 af d8 07 09 Full chain: 10 8d 9d 21 c8 84 77 84 e9 c1 09 a0 8a f1 ab 16 5c 4e ae 65 ------------------------------------ Verfizierte Ausstellungsrichtlinien: Alle Verfizierte Anwendungsrichtlinien: Alle Zertifikat ist ein Zertifizierungsstellenzertifikat FEHLER: Die Sperrstatusüberprüfung des untergeordneten Zertifikats hat Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613) zurückgegeben. CertUtil: Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. CertUtil: -verify-Befehl wurde erfolgreich ausgeführt. Zitieren Link zu diesem Kommentar
gnoovy 10 Geschrieben 14. Januar 2010 Autor Melden Teilen Geschrieben 14. Januar 2010 2 Zertifikat: ***************** Aussteller: CN=winnet-CA1-CA DC=winnet DC=local Antragsteller: CN=winnet-CA1-CA DC=winnet DC=local Zertifikatseriennummer: 78939857d759f28c415ea06987aad49c dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000) dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000) ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000) HCCE_LOCAL_MACHINE CERT_CHAIN_POLICY_BASE -------- CERT_CHAIN_CONTEXT -------- ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) CertContext[0][0]: dwInfoStatus=10c dwErrorStatus=0 Issuer: CN=winnet-CA1-CA, DC=winnet, DC=local NotBefore: 10.01.2010 21:30 NotAfter: 10.01.2015 21:40 Subject: CN=winnet-CA1-CA, DC=winnet, DC=local Serial: 78939857d759f28c415ea06987aad49c 10 8d 9d 21 c8 84 77 84 e9 c1 09 a0 8a f1 ab 16 5c 4e ae 65 Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4) Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ---------------- Zertifikat abrufen ---------------- Keine URLs "Keine" Zeit: 0 ---------------- Zertifikat abrufen ---------------- Keine URLs "Keine" Zeit: 0 ---------------- Zertifikat-OCSP ---------------- Keine URLs "Keine" Zeit: 0 -------------------------------- Exclude leaf cert: da 39 a3 ee 5e 6b 4b 0d 32 55 bf ef 95 60 18 90 af d8 07 09 Full chain: 10 8d 9d 21 c8 84 77 84 e9 c1 09 a0 8a f1 ab 16 5c 4e ae 65 ------------------------------------ Verfizierte Ausstellungsrichtlinien: Alle Verfizierte Anwendungsrichtlinien: Alle Zertifikat ist ein Zertifizierungsstellenzertifikat FEHLER: Die Sperrstatusüberprüfung des untergeordneten Zertifikats hat Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613) zurückgegeben. CertUtil: Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. CertUtil: -verify-Befehl wurde erfolgreich ausgeführt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.