fly87 10 Geschrieben 6. Dezember 2010 Melden Teilen Geschrieben 6. Dezember 2010 Hallo zusammen, ich habe gerade die W2K8 CA im Test... Ich habe hier eine Seite Testweise zertifiziert... Hat auch wunderbar geklappt, der Browser akzeptiert diese Verbindung ohne Hinweis... Dann habe ich das Zertifikat wieder gesperrt, die Sperrliste veröffentlicht und diese Veröffentlichte Liste dann manuell in mein Testsystem eingespielt. Gucke ich mir in der MMC dann die Sperrliste an, sehe ich das diese entsprechenden Einträge (Zertifikate) gesperrt sind. Rufe ich aber dann diese Website auf, dann interessiert das den Browser ganz genau null... Tut so, als wäre die Verbindung immer noch gültig. Wie kann denn das sein? Kann mir da jemand weiterhelfen... Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. Dezember 2010 Melden Teilen Geschrieben 7. Dezember 2010 Hi, ein Neustart des Systems sollte helfen oder ein "certutil -setreg chain\ChainCacheResyncFiletime @now". Siehe dazu auch: How to refresh the CRL cache on Windows Vista - Windows PKI blog - Site Home - TechNet Blogs Viele Grüße olc Zitieren Link zu diesem Kommentar
fly87 10 Geschrieben 9. Dezember 2010 Autor Melden Teilen Geschrieben 9. Dezember 2010 Hallo, also ein Neustart auf dem betreffenden System hilft tatsächlich leider nicht. Nur der Befehl entsprechend hat jetzt Wunder gewirkt. Hmmm... Bleibt die Frage offen, wenn ich dieses System mal produktiv setze irgendwann, ob ich dann dieses Problem ständig habe. Dann macht letztlich das sperren von Zertifikaten im Fall des Falles keinen Sinn... Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 9. Dezember 2010 Melden Teilen Geschrieben 9. Dezember 2010 Die CRL wird im lokalen System gecacht und erst wirder geladen, wenn sie abgelaufen ist (das ist in der CRL vermerkt). Am Client (welcher den Browser öffnet) kannst Du den Cache wie folgt anzeigen: certutil -urlcache CRL mit certutil -urlcache CRL delete kannst Du den Cache löschen. Wenn schneller funktioniern soll, verwenden einen Online Responder. -Zahni Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 9. Dezember 2010 Melden Teilen Geschrieben 9. Dezember 2010 ...oder veröffentliche die CRLs entsprechend häufiger. Fast "real-time" bekommst Du aber nur wie zahni erwähnte mit OCSP. Viele Grüße olc Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 10. Dezember 2010 Melden Teilen Geschrieben 10. Dezember 2010 Dann macht letztlich das sperren von Zertifikaten im Fall des Falles keinen Sinn... Hallo, vielleicht liegt hier ein kleines Verständnisproblem vor: Zertifikate ersetzen nicht deine bisherige Rechteverwaltung, sondern ergänzen sie sinnvoll. Wenn ein User gesperrt werden soll, oder ein Zugriff verweigert werden soll, dann geschieht das z.B. an erster Stelle durch das Sperren des AD-Kontos oder in den Zugriffsberechtigungen und dann erst nachgelagert mit einer Zertifikatssperre, die sich dann nicht mehr rückgängig machen lässt. Von daher ist im Normalfall eine CRL-Gültigkeitsdauer von 24h oder 12h ausreichend. Auch offiziell zertifizierte CAs verwenden beispielsweise 24h Stunden Gültigkeitsdauer und veröffentlichen alle 12h eine neue CRL Wesentlich kürzer als 12h würde ich die Gültigkeitsdauer nicht machen, sondern dann, wie schon beschrieben, OCSP einsetzen. cu blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.