PKI - Certenroll zeigt auf alte crl Datei

[pastors 10]

Hallo,

hänge an einem Problem fest und komme einfach nicht weiter. Installiert ist eine AD integrierte PKI. Damit die Clients von extern auf interne Server zugreifen können, ist eine Veröffentlichung der Zertifikatsperrliste über den TMG veröffentlicht. In der Zertifizierungsstelle trug ich den externen http Zugriff ein. Wenn der Client nun diesen aufruft, zeigt die Sperrliste immernoch auf dem DC, auf dem die PKI installiert ist. Wenn Clients nun von extern über ein RD-S mittels Client SSL hüpfen wollen, klappt das eben nicht :)

 

Wie kann ich das Certificate Revocation List unter certenroll ersetzten???

[dmetzger 10]

Die CDP und AIA werden in den Eigenschaften der Zertifizierungsstelle konfiguriert. Dort musst Du die Pfade für die Clientabfragen von *.crl- und *.crt-Dateien eintragen. Diese Pfade werden nach einem Neustart der Zertifikatsdienste in den Erweiterungen neu ausgestellter Zertifikaten mitgegeben. Bereits ausgestellte Zertifikate müssen ggf. ersetzt werden.

[pastors 10]

Hallo,

den Eintrag für die Sperrliste hab ich schon gemacht. Bei den Clients im Netzwerk steht auch der neue Pfad bereits drin und dieser ist auch von extern erreichbar. Nur steht beim Zugriff von extern beim Sperrzertifikat immernoch der interne DC drin. Im Verzeichnis certenroll gibt es zwei Zertifikate jeweils mit dem Namen der CA. Dabei enthält eines im Namen ein'+'. Glaub da muss ich mich noch weiter einlesen :)

[dmetzger 10]

Fast meine ich zu glauben, dass die von Dir genannte "Zertifikatsdatei" mit dem "+"-Zeichen die Dateiendung "*.crl" hat und nicht ein Zertifikat, sondern eine Deltasperrlisten-Datei ist. :rolleyes:

 

Die andere Datei wäre in diesem Fall die vollständige Sperrliste, ebenfalls mit der Dateiendung "*.crl".