Fehlermeldung bei Zertifikatssperrliste in Enterprise CA

[markmaus 0]

Hallo zusammen,

 

ich habe bei uns eine PKI mit Offline Root CA erstellt. Soweit funktioniert auch alles, doch möchte ich mir bei der untergeordneten CA über einen rechten Mausklick auf "Gesperrte Zertifikate"|"Eigenschaften"|"Zertifikatssperrliste Anzeigen" die Sperrliste anzeigen lassen, so steht dort nur:

 

Schlüsselindex                     Gültig Ab

0                                           "Das Zertifizierungsstellenzertifikat wurde für diese Sperrliste gesperrt"

 

Das mag sogar richtig sein, denn der CA wurde zuerst ein Zertifizierungsstellenzertifikat zugewiesen dessen Gültigkeit versehentlich nur 1 Jahr Betrug. Ich habe das korrigiert, auf der Root CA ein neues Zertifikat mit einer längeren Gültigkeit erstellt und dieses untergeordneten Zertifizierungsstelle als Zertifizierungsstellenzertifikat zugewiesen. Das Ursprüngliche Zertifizierungsstellenzertifikat habe ich dann in der Root CA gesperrt und die Sperrliste neu veröffentlicht. Auf der Root CA kann ich mir deren Sperrliste auch wie oben beschrieben korrekt Anzeigen lassen.

 

Wenn ich die Sperrliste auf der untergeordneten CA neu veröffentliche, finde ich die CRL auch mit allen gesperrten Zertifikaten im .../CertEnroll Verzeichnis. Trotzdem bleibt die Fehlermeldung.

 

Was ist zu tun um an der beschriebenen Stelle wieder einen gültigen Sperrlisteneintrag zu bekommen? I

 

Ich habe schon versucht die Sperrlistendatei mit Certutil neu zu signieren und dabei das aktuelle Zertifizierungsstellenzertifikat ausgewählt. Der Befehl wird auch angenommen, aber leider hat das keinerlei Auswirkungen auf die Anzeige in der Zertifikatsstellenverwaltung. 

 

Danke für Eure Hilfe

bearbeitet 28. Juli 2015 von markmaus

[Dunkelmann 96]

Moin,

 

ich würde mal mit 'pkiview.msc' den Status der PKI prüfen. Eventuell sind noch nicht alle CDP und AIA aktualisiert.

[markmaus 0]

PKIView zeigt für die CA bei allen Einträgen "OK" an. Klicke ich dort auf "Sperrliste Anzeigen", wird mir auch die richtige Sperrliste angezeigt. Trotzdem bleibt die Fehlerhafte Anzeige wie oben beschrieben.

[Dunkelmann 96]

Hast Du auf der Sub CA eine neue Zertifikatsanforderung mit neuem privaten Schlüssel erstellt oder nur auf Basis der alten Anforderung ein neues Zertifikat ausgestellt?

[markmaus 0]

Ich bin mir nicht mehr sicher, es ist schon ein paar Wochen her. Da "Schlüsselindex 0" angezeigt wird vermute ich mal, dass ich es auf Basis der ursprünglichen Anforderung erstellt habe und keinen neuen Schlüssel erstellt habe.

bearbeitet 30. Juli 2015 von markmaus

[Dunkelmann 96]

Dann mach es nochmal mit einem neuen Schlüssel, der alte wurde ja von Dir gesperrt.

Neues Zertifikat mit demselben Schlüssel funktioniert afaik nur wenn das Zertifikat regulär erneuert wird und nicht wenn es gesperrt wird.

[markmaus 0]

Vielen Dank, das hat geholfen.

 

was mache ich nun mit den alten Root Zertifikaten (0 und 1) und der fehlerhaft angezeigten Sperrliste zum Schlüsselindex "0" ? Diese wurden eigentlich noch nirgends verwendet. Kann ich diese, der Übersicht halber löschen (falls das überhaupt möglich ist) oder sollte ich auch das alte Root-Zertifikat einfach sperren und trotzdem in der Zertifizierungsstelle belassen?

 

 

 

bearbeitet 31. Juli 2015 von markmaus

[Dunkelmann 96]

Aus Gründen der Nachvollziehbarkeit würde ich die CA Zertifikate nicht entfernen, sondern den Vorfall dokumentieren. Eine PKI läuft 10 Jahre oder mehr.

Wer weis heute schon, wer die nächste Erneuerung der Sub CA in einigen Jahren durchführt. Da kann so eine Unterbrechung in der Sequenz Fragen aufwerfen und den Betrieb möglicherweise unnötig verkomplizieren.

 

Die Sperrliste mit der fehlerhaften Signatur kann nach Ablauf gelöscht werden, der vertraut ohnehin keiner mehr, da das CA Zertifikat ungültig ist.

[markmaus 0]

OK. Das wird ich dann so machen.

 

Es hat sich noch eine weitere Frage zur neuen Zertifikatsstelle ergeben. Dafür mache ich aber einen neuen Thread auf. Vielleicht schaust Du mal rein, denn Du scheinst Dich ja gut auszukennen. Vielen Dank!