Jump to content

Server 2008 PKI - Verteilungspunkte HTTP trotz Deaktivierung vorhanden


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Aber klaro, hier ist es:

 

Jau, das Root CA Zertifikat sieht gut aus. Keine URLs vorhanden.

 

****e Frage, aber mit dem Erneuern ist es nicht getan, oder?

Ich versuchs mal neu auszustellen, hab da natürlich noch null Routine.

 

Doch, eigentlich schon. Erneuern oder neu aktualisieren resultiert immer in einem neuen Zertifikat. Daher sollte im neuen Zertifikat nur noch die gewünschte URL auftauen.

Die Root CA selbst hattest Du nacvh der Änderung an den Einstellungen auch schon einmal neu gestartet, korrekt?

 

Ich danke dir für deine Geduld, ehrlich!! ;-)

 

Gern. ;)

 

Viele Grüße

olc

Link zu diesem Kommentar

Doch, eigentlich schon. Erneuern oder neu aktualisieren resultiert immer in einem neuen Zertifikat. Daher sollte im neuen Zertifikat nur noch die gewünschte URL auftauen.

Die Root CA selbst hattest Du nacvh der Änderung an den Einstellungen auch schon einmal neu gestartet, korrekt?

 

Komisch, dann müsste doch auch ein neueres Datum drin stehen...ich hab gestern so viel rum gespielt. Vielleicht hab ich auch ein falsches Cert gedumpt, mom...

Link zu diesem Kommentar

Hi,

 

das ist genau der Punkt - wenn Du ein neues Zertifikat inkl. eines neuen privaten Schlüssels ausstellst, dann werden auch neue CRLs und Delta CRLs ausgestellt - deshalb siehst Du den Punkt jetzt 2x.

 

Dann warst Du die ganze Zeit schon auf dem richtigen Weg - nur fehlte Dir der Transfer dahingehend, daß Du ein Zertifikat neu ausstellen mußt, damit die URLs verändert werden können (egal ob mit oder ohne private key).

 

Daher ist es auch recht wichtig, vor der Inbetriebnahme einer CA die URLs zu prüfen - sonst wird es schnell unübersichtlich (wie bei Dir im Moment in der Testumgebung).

 

Viele Grüße

olc

Link zu diesem Kommentar

Ich habe erneuert ohne ein neues Schlüsselpaar zu erstellen und trotzdem habe ich jetzt das Ganze 2 mal drin. Habs grad nochmal versucht, jetzt ist Version 4.3 online, oha...

Wie bekomme ich einen der beiden Punkte wieder weg??

 

Ich hatte bereits ein neues Cert erstellt gehabt, mein Fehler war glaube ich, das alte zu sperren, kann das sein? Somit waren die URLs noch verfügbar.

 

Jo genau, dass man die URLs genau prüfen sollte BEVOR das erste Cert erstellt wird, habe ich gestern in einem Webcast gehört... ;-)

 

Also, nochmal zum Verständnis:

Wenn ich nun also auf "Contoso-Stammzertifizierungsstelle" klicke, sehe ich rechts die AIA und Verteilungspunkte die in das Cert der IssuingCA eingebettet werden, richtig?

 

Klicke ich wiederum auf die Issuing-CA, so sehe ich rechts die Infos, die in Certs eingebettet werden, die diese Stelle an Clients ausstellt, oder?

Link zu diesem Kommentar

Hi,

 

die Punkte bekommst Du gar nicht mehr weg - die Zertifikate müssen solange verfügbar sein, bis das letzte Zertifikat abgelaufen ist, daß auf Basis dieses Root oder Issuing CA Zertifikat ausgestellt wurde.

 

Das Sperren eines alten Zertifikats kann eigentlich nicht die Ursache sein. Und damit solltest Du bei CAs auch vorsichtig sein - sperrst Du ein CA Zertifikat, sind ab diesem Zeitpunkt alle Zertifikate ungültig, die durch diese CA (bzw. durch dieses Zertifikat / private key) ausgestellt wurden.

 

Wenn Du auf Stammzertifizierungsstelle klickst siehst Du die Verteilungspunkte, auf die Issuing CAs zugreifen werden (da diese in den Issuing CA Zertifikaten stehen).

 

Wenn Du auf Issuing CA klickst siehst Du die URLs, die in den Client / User Zertifikaten stehen werden. Und ob diese erreichbar sind. ;)

 

Viele Grüße

olc

Link zu diesem Kommentar

Oki, das Vorgehen beim Server 2008 sollte das gleiche sein, oder?

 

Ich danke dir sehr herzliche für deine Hilfe!!

 

Eine Frage habe ich noch, fällt mir grad so ein:

Wenn ich z.B. was an den CRL Einstellungen an an der Root CA drehe, muss ich ja daraufhin das Cert erneuern, ja?

Daraufhin muss dann auch das Cert für die Issuing CA erneuert werden, lieg ich da richtig?

 

Jeweils dann auch beide alten Certs sperren? Wie gehe ich hier genau vor?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...