Zertifikatsanforderungsverarbeitung: DER RPC-SERVER IST NICHT VERFÜGBAR.

[variousos 0]

0x800706ba (WIN32:1722 RPC_S_SERVER_UNAVAILABLE)

 

Hallo...kann mir jemand einen Tip geben? Das erscheint beim Signieren des SUB-CA-Zertifikates! Weder auf der SUB- noch auf der ROOT-CA ist die Firewall aktiv!

 

DANKE für eine Hilfe

 

variousos

[ChrisRa 42]

Was meinst du mir signieren des Sub-CA-Zertifikates? 

 

Grüße

bearbeitet 29. Juni 2015 von ChrisRa

[Dunkelmann 96]

Moin,

 

ist die Root CA eine Enterprise oder eigenständige?

 

PS: Firewall richtig konfigurieren anstatt abschalten ;)

[variousos 0]

Guten Abend,

 

die Root ist eine eigenständige ca...und... Die Firewall ist offengestanden abgeschaltet! Warum...ist das ein Problem? Ich habe auf alles VM's und meinen anderen Rechnern die FW abgeschaltet, weil ich eine Hardware-FW installiert habe...

 

Welchen Tipp kannst Du mir denn hier geben?

 

LG

[Dunkelmann 96]

Bei einer eigenständigen Root CA muss die Anforderung manuell eingereicht werden. Ganz grob sieht es so aus:

• Anforderung (CSR) als Datei speichern und auf die Root übertragen
• auf der Root über das mmc Zertifizierungsstelle eine neue Anforderung einreichen
• genehmigen
• Zertifikat der Sub CA speichern und die Datei auf die Sub CA übertragen
• Auf der Sub CA über das mmc Zertifizierungsstelle die Anforderung abschließen
• Fertig

[variousos 0]

Hallo @Dunkelmann,

 

die Punkte durchlaufe ich ja alle...eben BIS ZU DEM MOMENT, in dem ich das Zertifikat und die Sperrliste der Root-CA im Active Directory per CMD veröffentlichen möchte

certutil –dspublish –f xxxxx_xxxxxx.net.crt Rootca  - das wird als erfolgreich abgeschlossen!

certutil –dspublish –f xxxx-Root-CA.crl  - hier bekomme ich eben die Antwort, dass der RPC-Server nicht verfügbar sei!

Und das muss doch eine Ursache haben?

bearbeitet 1. Juli 2015 von variousos

[ChrisRa 42]

Wie möchtest du deine PKI aufbauen?

• Root-CA
• Sub-CA

Willst du die PKI 2-stufig aufbauen?

 

Leg die Sperrliste bei einer eigenständigen Root-CA am besten auf einen IIS.

 

Wenn du nun eine 2-stufige CA erstellen möchtest, nimmst du als 2. Stufe eine Enterprise CA.

Die CRL bei einer eigenständigen Root-CA im AD zu veröffentlichen ist merkwürdig.

 

Zum Thema Firewall: Der Server 2012 R2 konfiguriert die Ports automatisch, wenn du die Rolle AD Zertifikatsdienste installierst. Die Firewall schaltet man am Server per se nicht aus. Das ist einfach eine Grundsatzfrage. (Genauso sieht es eigentlich auch bei den Clients aus)

bearbeitet 1. Juli 2015 von ChrisRa

[Dunkelmann 96]

Man kann die Root CA samt crl schon im AD veröffentlichen; durch die AD Replikation gibt es damit für Interne einen hochverfügbaren CDP ohne viel Arbeit. Ein AD unabhängiger CDP, möglichst intern und extern erreichbar, sollte natürlich existieren.

 

certutil -dspublish kommuniziert mit einem DC und nicht mit der CA. Hier solltest Du ansetzen und mal die DCs prüfen (DNS, Replikation usw. - nicht die Firewall auf dem DC abschalten ;) )

 

Ich hoffe Du hast bei der Root CA daran gedacht, die CDP im ldap einzurichten.

[variousos 0]

Hallo @Dunkelmann,

 

ich stosse leider immer wieder, trotz des Versuches akribisch zu sein, immer wieder auf Fehler. Da meine bisherige 1stufige PKI ja korrupt ist, versuchte ich gestern ERST EINMAL eine einstufige zu erstellen. Dabei lief ich beim  veröffentlichen der gesperrten Zerfitikate in den Fehler:

"Der Verzeichnisname ist ungültig. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)"

 

Weißt Du was ich hier tun kann? Und...vielleicht kennt jemand ein gutes Tutorial zum erstellen einer 2stufigen PKI?

 

DANKE dafür und LG
 

[Dunkelmann 96]

Moin,

 

es gibt von MS ein TLG für eine kleine PKI.

https://technet.microsoft.com/en-us/library/hh831348.aspx

Das ist allerdings nur ein Funktionsmuster zum spielen und kann nicht zwangsläufig 1:1 in einer Produktivumgebung umgesetzt werden.

 

Das Buch 'PKI & Certificate Security' von Brian Komar bietet etwas mehr Hintergrund.

 

Bei einer Lebensdauer von 10 oder mehr Jahren, sollte eine PKI sorgfältig geplant und getestet werden. Es gibt auch Dienstleister, die man für diesen Zweck anheuern kann ;)

[variousos 0]

Hallo @Dunkelmann,

 

ich habe mir schon seit einigen Wochen einiges angesehen...durchgelesen und habe es (mir bestmöglich) alles geplant. Ich habe auch eine zweistufige PKI erstellt und unter "ausgestellte Zertifikate" haben sich mittlerweile einige "angesammelt"

 

Jetzt meine Verständnisfrage. In der Konsole erscheint unter "vertrauenswürdige Stammzerfizierungsstellen - Zertifikate" unter anderem meine neu erstellte "Root-CA", sowie das noch länger gültige "SRV-Exchange-Zertifikat". Das möchte ich aber aufgrund dessen, dass es keine starke Verschlüsselung hat gern austauschen. 

 

Meine Frage: Kann ich das "Root-Zertifikat" letzten Endes dafür benutzen? Kann man es beim exportieren umbenennen? Oder was macht man hier?

DANKE

bearbeitet 5. Juli 2015 von variousos

[Dunkelmann 96]

Mit ein bischen lesen und etwas experimentieren ist es nicht getan. Eine PKI besteht zu 95% aus Organisation und nur zu 5% aus Technik.

 

Was Du mit welchen Zertifikaten anstellst bzw. anstellen kannst, sollte vor der Inbetriebnahme durch ein CPS (Certificate Practice Statement) definiert werden. Ergänzend können ggf. technische Hilfsmittel zur Erzwingung eingesetzt werden. (Z.Bsp. HSM, Rollentrennung)

 

Grundsätzlich sollte das CA Zertifikat - egal ob Root CA oder Policy/Issuing CA - nur zur Signatur anderer Zertifikate verwendet werden. Der Private Schlüssel des CA Zertifikats sollte nur für CA-spezifische Aufgaben und nicht für allgemeine Anwendungen/Dienste eingesetzt werden.

 

Für allgemeine Dienste sollten entsprechende Zertifikate mit dem geeigneten Verwendungszweck ausgestellt werden. (Serverauthentifizierung, IPSec Tunnelabschluss usw. usf.)