olc 18 Geschrieben 14. Januar 2010 Melden Teilen Geschrieben 14. Januar 2010 Guten Abend, Du hast scheinbar 2x das gleiche Zertifikat gepostet (nämlich das der Root CA). Viele Grüße olc Zitieren Link zu diesem Kommentar
gnoovy 10 Geschrieben 14. Januar 2010 Autor Melden Teilen Geschrieben 14. Januar 2010 komisch sind halt die zwei Winnet-Zertifikate. Die heißen ja auch gleich, aber beim ersten ist im Snap-In noch ein Schlüssel im Icon erkenntbar. Soll ich noch Root-Agency oder das Winnet-CA2-CA posten? Das sind da die einzigen Zertifikate. Die ersten beiden Winnet-Zertifikate habe ich ja bereits gepostet. Anbei nochmal Screenshot der Zertifikate Zitieren Link zu diesem Kommentar
gnoovy 10 Geschrieben 14. Januar 2010 Autor Melden Teilen Geschrieben 14. Januar 2010 hi olc, anbei doch mal das letzte winnet-zertifikat CA2, also das von der untergeordneten Zertifizierungsstelle CA2.txt Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 15. Januar 2010 Melden Teilen Geschrieben 15. Januar 2010 Hi, der Export von CA2 war korrekt. Da die URL des Root Zertifikats ausschließlich per LDAP bereitsteht (was nicht optimal ist, aber in der Testumgebung sollte es ausreichend sein), brauchst Du eigentlich nichts "umziehen". Die AD sollte immer verfügbar sein. Lediglich bei Ablauf / Erneuerung des Root Zertifikats mußt Du das angehen: ---------------- Zertifikat abrufen ---------------- Überprüft "Zertifikat (0)" Zeit: 0 [0.0] ldap:///CN=winnet-CA1-CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=winnet,DC=local?cACertificate?base?objectClass=certificationAuthority Problematischer ist jedoch, daß die Delta CRLs abgelaufen sind: ---------------- Zertifikat abrufen ---------------- Überprüft "Basissperrliste (01)" Zeit: 0 [0.0] ldap:///CN=winnet-CA1-CA,CN=CA1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=winnet,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint [color="Red"] Abgelaufen "Deltasperrliste (01)" Zeit: 0 [0.0.0] ldap:///CN=winnet-CA1-CA,CN=CA1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=winnet,DC=local?deltaRevocationList?base?objectClass=cRLDistributionPoint[/color] ---------------- Basissperrliste veraltet ---------------- Abgelaufen "Deltasperrliste (02)" Zeit: 0 [0.0] ldap:///CN=winnet-CA1-CA,CN=CA1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=winnet,DC=local?deltaRevocationList?base?objectClass=cRLDistributionPoint Hier liegt ein Problem, da durch diese abgelaufene Delta CRL die Zertifikatkette als üngültig eingestuft werden wird und die Überprüfung von Zertifikaten damit fehlschlägt. Da mußt Du also ran und dafür sorgen, daß diese Delta CRL regelmäßig veröffentlicht wird (per "certutil -dspublish" etwa). Viele Grüße olc Zitieren Link zu diesem Kommentar
gnoovy 10 Geschrieben 15. Januar 2010 Autor Melden Teilen Geschrieben 15. Januar 2010 hi olc, interessant ;-) ist ja bisher ne Standardinstallation. Wieso steht das dann automatisch nur auf ldap? wie kann ich das umstellen? Wenn das Root-Zertifikat abgelaufen ist, wie kann ich dies erneuern? die Deltasperrlisten kann ich ja auch im SnapIn Zertifikatsdienststelle ja auch bei sperrlisten veröffentlichen oder? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 16. Januar 2010 Melden Teilen Geschrieben 16. Januar 2010 Hi gnoovy, am besten Du besorgst Dir ein entsprechendes Buch (z.B. das Windows PKI Buch von Brian Komar) und fängst mit den Grundlagen an. Wir können wir nicht alle Deine Fragen nacheinander beantworten, wenn diese im Kern dort beantwortet werden. ;) Kurz und knapp: zu 1. Standardinstallation heißt nicht, daß man rein gar nicht tun muß. Es funktioniert ja auch so. Aber in jeder MS PKI Literatur wirst Du den Hinweis finden, daß Du Anpasseungen an Deine Umgebun vornehmen mußt. Wie soll es sonst auch funktionieren? Es weiß ja niemand, wie Deine Umgebung aussieht außer Du selbst. zu 2. Ugestellt hast Du es laut Deinen Screenshots schon, nur eben erst nach der Ausstellung des Sub-CA Zertifikats. Daher sind die URLs nicht in diesem Zertifikat vorhanden. Du müßtest also das Sub-CA Zertifikat erneuern, dann wären die zusätzlichen URLs im neuen Zertifikat der Sub-CA vorhanden. zu 3. Erneuern kannst Du das Zertifikat, indem Du den entsprechenden Ablauf auf der Root-CA durchführst. ;) zu 4. Ja, das kannst Du dort machen. Das muß dann jedoch regelmäßig stattfinden. Du kannst es auch mittels des Befehls "certutil -crl" auf der jeweiligen CA initiieren. Zusätzlich solltest Du beachten, daß die offline Root-CA, die sicherlich nicht Domänenmitglied ist, nicht auf den LDAP Pfad schreiben kann. Daher mußt Du die CRL und Delta CRL manuell ins LDAP schreiben. Auch dazu gibt es diverse Anleitungen, Stichowrt wäre "certutil -dspublish". Bitte habe Verständnis, daß nicht alle Deine Grundsatzfragen an dieser Stelle ausführlich zu beantworten sind. Sonst würde ich eher ein Buch schreiben - aber das haben andere schon getan. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.