Zweistufige pki unter w2008 r2

[neuland14 10]

Zweistufige pki unter w2008 r2

Probleme mit certutil -dsPublish beim Einbinden des Zertifikats ins AD

 

Hallo zusammen,

 

möchte gerne eine Zweistufige PKI unter W2008R2 erstellen, laut der Anleitung bei Galileo

 

Galileo Computing :: Windows Server 2008 R2 – 12.12 Zweistufige Architektur implementieren

 

 

Abbildung: 12.109

 

Die Root-CA ist nicht in der Domäne und hat den Hostnamen = CA

 

Die Domäne lautet lan.lokal

 

Die Eingabe von:

 

certutil -dsPublish -f CA.lan.lokal_CERTROOT.crt RootCA ldap:///CN=CERTROOT,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=lan,DC=lokal?cACertificate

 

Erzeugt folgende Fehlermeldung:

Max. 3 Option(en) erwartet, 6 erhalten

CertUtil: Zu viele Optionen.

 

 

Da ich vermutet habe das die Leerstellen diesen Fehler verursachten versuchte ich folgende Eingabe:

 

certutil -dsPublish -f CA.lan.lokal_CERTROOT.crt RootCA "ldap:///CN=CERTROOT,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=lan,DC=lokal?cACertificate"

 

Dies verursacht folgenden Fehler:

CertUtil: -dsPublish-Befehl ist fehlgeschlagen: 0x80070057 (WIN32: 87)

CertUtil: Falscher Parameter.

 

Hänge hier nun schon Std. fest, kann jemand den Fehler erkennen oder gibt es noch eine Andere Möglichkeit das Zertifikat und die Sperrliste im AD zu veröffentlichen?

[olc 18]

Hi neuland14, willkommen an Bo(a)rd, :)

 

im Normalfall benötigst Du nicht die Angabe vom LDAP Objekt, es reicht ein simples: "cerutil -dsPublish -f RootCA.crt RootCA".

 

Damit sollte es dann klappen. :)

 

Ein "certutil -dspublish -?" gibt Dir eine Übersicht über die möglichen Optionen und die erforderliche Syntax.

 

Viele Grüße

olc

[Dunkelmann 96]

Bei einem solchen Dateinamen

CA.lan.lokal_CERTROOT.crt

solltest Du den Dateinamen bzw. Pfad in Anführungszeichen setzen. CertUtil ist ein recht "simples" Kommando und glaubt ansonsten der Dateiname wäre "CA.lan".

 

 

Randnotiz:

Für eine Testumgebung ist das Gallileo open book ausreichend.

 

Falls Du produktiv gehen möchtest bzw. etwas mehr Hintergrundinformationen benötigst, empfehle ich einen Blick in Brian Komars "PKI & Certificate Security".

[olc 18]

Hi,

 

Bei einem solchen Dateinamen solltest Du den Dateinamen bzw. Pfad in Anführungszeichen setzen.

 

Das ist in diesem Fall nicht notwendig, es sind ja keine Leerzeichen vorhanden.

 

CertUtil ist ein recht "simples" Kommando und glaubt ansonsten der Dateiname wäre "CA.lan".

 

Certutil ist alles, nur nicht "simpel". ;) Und mit Punkten im Namen kommen im Normalfall alle aktuellen Programme zurecht - so auch certutil. Es liegt wie angesprochen mit hoher Wahrscheinlichkeit schlichtweg an der Angabe des LDAP Pfades, der nicht notwendig ist (zumal dieser dann auch noch Leerzeichen enthalten hätte).

 

Viele Grüße

olc

[neuland14 10]

Hi neuland14, willkommen an Bo(a)rd, :)

 

im Normalfall benötigst Du nicht die Angabe vom LDAP Objekt, es reicht ein simples: "cerutil -dsPublish -f RootCA.crt RootCA".

 

Damit sollte es dann klappen. :)

 

Ein "certutil -dspublish -?" gibt Dir eine Übersicht über die möglichen Optionen und die erforderliche Syntax.

 

Viele Grüße

olc

 

Danke so gehts! ;)

[neuland14 10]

Hi,

 

 

 

Das ist in diesem Fall nicht notwendig, es sind ja keine Leerzeichen vorhanden.

 

 

 

Certutil ist alles, nur nicht "simpel". ;) Und mit Punkten im Namen kommen im Normalfall alle aktuellen Programme zurecht - so auch certutil. Es liegt wie angesprochen mit hoher Wahrscheinlichkeit schlichtweg an der Angabe des LDAP Pfades, der nicht notwendig ist (zumal dieser dann auch noch Leerzeichen enthalten hätte).

 

Viele Grüße

olc

 

 

Danke für den Buch Tipp und die Info:)