Jump to content

Problme bei einer Enterprise PKI in einer Lab Umgebung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

Ich versuchte heute eine Enterprise PKI in einer Lab Umgebung aufzubauen. Aber ich bekam immer den folgenden Fehler:

 

Can not verify certification chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation because the revocation server was offline.

 

Meine Lab Umgebung besteht aus 3 Server. Einem DC einer Subordinate CA (Domain Member Server) und einer Root CA (kein Domain Member).

Nach dieser Anleitung http://mizitechinfo.wordpress.com/2013/08/31/step-by-step-deploying-an-enterprise-subordinate-ca-in-server-2012-r2-part-2/ ging ich vor.

Könnt Ihr mir helfen um das Problem zu beheben?

 

 

Danke für Eure Hilfe.

 

Viele Grüße

Stefan 

Link zu diesem Kommentar

Ich bin strikt nach der Anleitung https://mizitechinfo.wordpress.com/2013/08/29/step-by-step-deploying-a-standalone-root-ca-in-server-2012-r2-part-1/ vorgegangen. Beim 2. Teil (Punkt 45) http://mizitechinfo.wordpress.com/2013/08/31/step-by-step-deploying-an-enterprise-subordinate-ca-in-server-2012-r2-part-2/ kommt der Fehler.

 

Der einzige Unterschied ist das ich eine andere Serveraufteilung habe.

 

RootCA kein Domain Mitglied

DC

SubCA

Link zu diesem Kommentar

Hallo,

 

eine PKI durch nachklicken eines - in meinen Augen fragwürdigen - Tuturials nachzubauen ist sehr mutig.

 

Auch wenn es sich nur um eine Laborumgebung, solltest Du parallel auch am etwas theoretischen Hintergrund arbeiten.

http://social.technet.microsoft.com/wiki/contents/articles/2683.active-directory-certificate-services-learning-roadmap-community-edition.aspx

 

Als kleine Spielumgebung erscheint mir das TLG von MS deutlich potenter (und es funktioniert ;) )

http://technet.microsoft.com/en-us/library/hh831348.aspx

Link zu diesem Kommentar

Hallo Dunkelmann,

 

ich schaute mir die MS LAB Umgebung an und möchte sie ausprobieren.

 

Was mir noch nicht so ganz klar ist die URL Angabe in der CApolicy,inf in auf der RootCA

"URL=http://www.contoso.com/pki/cps.txt"

 

Was hat es mit der URL genau auf sich? Ist es okay wenn sie in der Testumgebung ins Leere zeigt URL=http:/meineDomain/pki/cps.txt?

Link zu diesem Kommentar

Hallo Dunkelmann, 

 

danke für Deine gute Hilfe. Ich arbeitete das Lab heute durch. Es ging auch alles ohne Probleme. Nur wenn ich den Befehl "certutil -crl" bekomme ich immer wieder die Fehlermeldung:

 

CertUtil: -CRL command FAILED: 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
CertUtil: The parameter is incorrect.
 
Auf der Root CA ging es auch so, Nur kommt jetzt die Fehlermeldung auch auf der SUBCA in diesem Block
 
"To configure the AIA and CDP Settings
On APP1, as User1, right-click Windows PowerShell, click Run as Administrator. Click Yes to confirm that you want to run Windows PowerShell as an Administrator.
From Windows PowerShell run the following commands:
certutil -setreg CA\CRLPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%3%8.crl\n2:http://www.contoso.com/pki/%3%8.crl"
Certutil -setreg CA\CRLPeriodUnits 2
Certutil -setreg CA\CRLPeriod "Weeks"
Certutil -setreg CA\CRLDeltaPeriodUnits 1
Certutil -setreg CA\CRLDeltaPeriod "Days"
Certutil -setreg CA\CRLOverlapPeriodUnits 12
Certutil -setreg CA\CRLOverlapPeriod "Hours"
Certutil -setreg CA\ValidityPeriodUnits 5
Certutil -setreg CA\ValidityPeriod "Years"
restart-service certsvc
certutil -crl "
Link zu diesem Kommentar

Hallo,

 

schön, dass es bisher so gut läuft.

 

Der Fehler ist vermutlich ein typisches Codepage - Copy&Paste Problem. Manchmal passieren dabei komische Sachen. Eventuell kann es helfen, den Text zunächst in einen Editor, z.B. Notepad++, zu kopieren, zu prüfen und erst dann in die PowerShell einzufügen.

 

Den Befehl 'certutil -crl' solltest Du ansonsten problemlos manuell eingeben und erfolgreich ausführen können. (Die Gänsefüße am Ende gehören da übrigens nicht hin)

Link zu diesem Kommentar

Möglicherweise ist beim Copy&Paste etwas mehr schiefgelaufen.

'certutil -crl' veröffentlicht die Sperrliste. Wenn das fehlschlägt, könntest Du es auch mal über das MMC 'Zertifizierungsstelle' versuchen.

Dazu die CA öffnen, zu 'Gesperrte Zertifikate' navigieren und mit Rechtsklick - Alle Aufgaben - Veröffentlichen wählen

 

Troubleshooting:

Am Besten fängst Du auf der Root CA an, den Status und die korrekte Übernahme der Parameter nochmal zu prüfen.

 

MMC Zertifikate öffnen und in den Eigenschaften der Zertifizierungsstelle unter 'Erweiterungen' die 'Sperrlisten Verteilungspunkte' (CDP) und den 'Zugriff auf Stelleninformationen' (AIA) die Pfade auf Plausibilität prüfen. Wenn Du nicht genau weist, was dort stehen muss ist es natürlich etwas b***d. Aber Du könntest weigstens schauen, ob es dort offensichtlich verstümmelte oder unvollständige Pfadangaben gibt.

 

Hast Du alle Server genauso benannt, wie im TLG vorgegeben?

Läuft der Dienst? 'get-service certsvc'

Mit RegEdit folgenden Pfad öffnen: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\{CA-Name}]

Dann überprüfen, ob die mit 'certutil -setreg' gesetzten Parameter auch 1:1 übernommen wurden. Insbesondere die beiden urls für die Veröffentlichung des Zertifikats und der Sperrliste genau prüfen.

 

Edit: Bist Du auch Enterprise bzw. Organisations-Admin?

Edit2: (hatte noch nicht genügend Kaffee)

Manchmal macht die PowerShell auch komische Dinge bei Anführungszeichen in einer Deutschen Umgebung.

Du könntest alle 'certutil -setreg' Befehle auf dem Zielsystem in eine klassische Batchdatei (*.cmd) packen. 'Restart-Service certsvc' durch 'net stop certsvc' und 'net start certsvc' ersetzen, dann 'certutil -crl' und ein 'pause' ans Ende vom Batch setzen.

Das Batch dann als Administrator ausführen

bearbeitet von Dunkelmann
Link zu diesem Kommentar

Ich hatte gestern Abend es noch mal den händischen Weg gegangen über die Konsole und Veröffentlichen. Dies klappte auch ohne Probleme. Darauf kam ich nach dem ich Googel anwarf um zu schauen was 'ertutil -crl' genau macht. 

 

Aber bei der Ausführung über Powershell bekam ich immer wieder die oben beschriebe Fehlermeldung. Auch wenn ich alles eingab (ohne Copy and Paste). 

 

Ich führte alles als mit dem Enterprise Domain Admin aus. In der Regedit ist auch alles richtig gesetzt.

Link zu diesem Kommentar

Ist es möglich mit der Subordinate CA auch Web Zertifikate für eine andere Domain auszustellen?

Intern nutze ich lab.test.com und extern meineDomain.de . Gerne möchte ich mit der Subordinate CA die internen Zertifikate für die Server erstellen. Für den Zugriff von außen möchte ich Zertifikate *.meineDomain.de erstellen und den Servern für die URL mitgeben.

Ich weiß dass immer noch der rote Balken im Browser angezeigt wird, da das Zertifikat von keiner offiziellen Stelle ausgegeben wird. Aber welches Zertifikats muss ich bei einem externen Client einspielen so dass der Zertifikate mit der URL *. meineDomain.de von meiner internen Subordinate CA vertraut?

 

Danke für die gute und schnelle Hilfe.

 

Lg und ein schönes Wochenende

Stefan

Link zu diesem Kommentar

Hallo,

 

grundsätzlich ist das kein Problem. Du kannst über Deine PKI Zertifikate ausstellen für wen Du möchtest.

 

Der Client muss Deiner Root CA vertrauen. Dadurch sind alle Abkömmlinge automatisch auch vertrauenswürdig.

Du musst das Root Zertifikat in den Speicher für 'Vertrauenwürdige Stammzertifirungsstellen' importieren. Machst Du es im Computerkontext, gilt es für alle Benutzer des Clients, machst Du es im Benutzerkontext, gilt es nur für den aktuellen Benutzer. In einer fremden Domäne kannst Du das Root Zertifikat auch per GPO verteilen lassen.

 

Zusätzlich müssen die Sperrlisten am Client verfügbar sein. Bei dem TLG Beispiel bedeutet es, dass 'www.contoso.com/pki' im simulierten Internet - oder wo auch immer der Client sich gerade befindet - verfügbar sein muss.

 

Falls Du tiefer in das Thema einsteigen möchtest, empfehle ich Dir 'Brian Komar - PKI And Certificate Security'

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...