olc 18 Geschrieben 21. Februar 2010 Melden Teilen Geschrieben 21. Februar 2010 Aber klaro, hier ist es: Jau, das Root CA Zertifikat sieht gut aus. Keine URLs vorhanden. ****e Frage, aber mit dem Erneuern ist es nicht getan, oder?Ich versuchs mal neu auszustellen, hab da natürlich noch null Routine. Doch, eigentlich schon. Erneuern oder neu aktualisieren resultiert immer in einem neuen Zertifikat. Daher sollte im neuen Zertifikat nur noch die gewünschte URL auftauen. Die Root CA selbst hattest Du nacvh der Änderung an den Einstellungen auch schon einmal neu gestartet, korrekt? Ich danke dir für deine Geduld, ehrlich!! ;-) Gern. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 21. Februar 2010 Autor Melden Teilen Geschrieben 21. Februar 2010 Doch, eigentlich schon. Erneuern oder neu aktualisieren resultiert immer in einem neuen Zertifikat. Daher sollte im neuen Zertifikat nur noch die gewünschte URL auftauen. Die Root CA selbst hattest Du nacvh der Änderung an den Einstellungen auch schon einmal neu gestartet, korrekt? Komisch, dann müsste doch auch ein neueres Datum drin stehen...ich hab gestern so viel rum gespielt. Vielleicht hab ich auch ein falsches Cert gedumpt, mom... Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 21. Februar 2010 Autor Melden Teilen Geschrieben 21. Februar 2010 Ist ja total seltsam...jetzt habe ich 2 Stammcert-Stellen?? Und bei der passt es. http://img28.imageshack.us/img28/4816/pki2.jpg Ich habe StammCert wie auch Issuing Cert nochmal gesperrt neu erstellt. Jetzt blick ich gar nicht mehr durch. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 21. Februar 2010 Melden Teilen Geschrieben 21. Februar 2010 Hi, das ist genau der Punkt - wenn Du ein neues Zertifikat inkl. eines neuen privaten Schlüssels ausstellst, dann werden auch neue CRLs und Delta CRLs ausgestellt - deshalb siehst Du den Punkt jetzt 2x. Dann warst Du die ganze Zeit schon auf dem richtigen Weg - nur fehlte Dir der Transfer dahingehend, daß Du ein Zertifikat neu ausstellen mußt, damit die URLs verändert werden können (egal ob mit oder ohne private key). Daher ist es auch recht wichtig, vor der Inbetriebnahme einer CA die URLs zu prüfen - sonst wird es schnell unübersichtlich (wie bei Dir im Moment in der Testumgebung). Viele Grüße olc Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 21. Februar 2010 Autor Melden Teilen Geschrieben 21. Februar 2010 Ich habe erneuert ohne ein neues Schlüsselpaar zu erstellen und trotzdem habe ich jetzt das Ganze 2 mal drin. Habs grad nochmal versucht, jetzt ist Version 4.3 online, oha... Wie bekomme ich einen der beiden Punkte wieder weg?? Ich hatte bereits ein neues Cert erstellt gehabt, mein Fehler war glaube ich, das alte zu sperren, kann das sein? Somit waren die URLs noch verfügbar. Jo genau, dass man die URLs genau prüfen sollte BEVOR das erste Cert erstellt wird, habe ich gestern in einem Webcast gehört... ;-) Also, nochmal zum Verständnis: Wenn ich nun also auf "Contoso-Stammzertifizierungsstelle" klicke, sehe ich rechts die AIA und Verteilungspunkte die in das Cert der IssuingCA eingebettet werden, richtig? Klicke ich wiederum auf die Issuing-CA, so sehe ich rechts die Infos, die in Certs eingebettet werden, die diese Stelle an Clients ausstellt, oder? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 21. Februar 2010 Melden Teilen Geschrieben 21. Februar 2010 Hi, die Punkte bekommst Du gar nicht mehr weg - die Zertifikate müssen solange verfügbar sein, bis das letzte Zertifikat abgelaufen ist, daß auf Basis dieses Root oder Issuing CA Zertifikat ausgestellt wurde. Das Sperren eines alten Zertifikats kann eigentlich nicht die Ursache sein. Und damit solltest Du bei CAs auch vorsichtig sein - sperrst Du ein CA Zertifikat, sind ab diesem Zeitpunkt alle Zertifikate ungültig, die durch diese CA (bzw. durch dieses Zertifikat / private key) ausgestellt wurden. Wenn Du auf Stammzertifizierungsstelle klickst siehst Du die Verteilungspunkte, auf die Issuing CAs zugreifen werden (da diese in den Issuing CA Zertifikaten stehen). Wenn Du auf Issuing CA klickst siehst Du die URLs, die in den Client / User Zertifikaten stehen werden. Und ob diese erreichbar sind. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 21. Februar 2010 Autor Melden Teilen Geschrieben 21. Februar 2010 Okidoki, ich denke ich werde mir jetzt nochmal 2 frische Server her nehmen und nochmal alles von vorn aufbauen und dann sehen wie es aussieht. Da ja auch Daten ins AD veröffentlicht werden, macht das was aus, wenn ich jetzt auf 2 neuen Memberservern in der gleichen Domäne nochmals eine Rout und Issuing CA aufbaue? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 21. Februar 2010 Melden Teilen Geschrieben 21. Februar 2010 Ja, Du solltest das AD vorher säubern - auch, wenn die Namen dieselben sein sollten: How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003 and from Windows Server 2000 Viele Grüße olc Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 21. Februar 2010 Autor Melden Teilen Geschrieben 21. Februar 2010 Oki, das Vorgehen beim Server 2008 sollte das gleiche sein, oder? Ich danke dir sehr herzliche für deine Hilfe!! Eine Frage habe ich noch, fällt mir grad so ein: Wenn ich z.B. was an den CRL Einstellungen an an der Root CA drehe, muss ich ja daraufhin das Cert erneuern, ja? Daraufhin muss dann auch das Cert für die Issuing CA erneuert werden, lieg ich da richtig? Jeweils dann auch beide alten Certs sperren? Wie gehe ich hier genau vor? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.