Jump to content

CA, OCSP-Responder: OCSP-Request nicht erfolgreich


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

hello together

Habe auf meiner zweistufigen CA auf der SubCA, rechte Maustaste Eigenschaften, Reiter (Register) Erweitert, Punkt: Zugriff auf Stelleninformationen zwei URLs hinterlegt

=> http://aia.domainXY.ch/crl/......
   angekreuzt habe ich hierbei: "in AIA-Erweiterung des ausgestellten Zertifikats einbeziehen"
=> http://ocsp.domainXY.ch/ocsp
   angekreuzt habe ich hierbei: "In Online Certificate Status-Protocol(OCSP)-Erweiterungen einbeziehen"

 

Mit dem Kommandozeilentool Certutil habe ich dann mein neue generiertes Exchange Zertifikat auf OCSP Tauglichkeit getestet, wie folgt
certutil -verify -urlfetch -v PfadZumExchangeCert.cer

 

dabei war unteranderem betreffend OCSP eine Fehlermeldung aufgetaucht, welche leider nicht wirklich aussagekräftig ist

 

Frage: Was habe ich für Möglichkeiten, um herausfinden zu können, wo oder warum genau die Meldung erscheint, OCSP Prüfung nicht erfolgreich - gibt es OCSP LOGs oder sonst Tools, mit welchen ich mehr Details zur OCSP Prüfung erhalte?

 

----------------  Zertifikat-OCSP  ----------------
http://ocsp.domainXY.ch/ocsp/MFQwUjBQME4wTDAJBgUrDgMCGgUABBS2KUBXeVRxGHM%2fXVq9ne
JilQK%2fjAQU%2byCMJb1UTlKiALx43stiFHuEYxgCExIAAAAFlIeybqG%2fjjMAAAAAAAU%3d?Conte
nt-Type: application/ocsp-request
  Nicht erfolgreich "OCSP" Zeit: 0
    [0.0] http://ocsp.domainXY.ch/ocsp

  --------------------------------
    CRL 08:
    Issuer: CN=domainXY-RootCA, DC=domainXY, DC=CH
    ThisUpdate: 04.01.2016 12:11
    NextUpdate: 03.01.2017 00:31
    46de5d4ee5ff9ad75e1a81f884fe4e934c7aa93e

CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0
  Issuer: CN=domainXY-RootCA, DC=domainXY, DC=CH
  NotBefore: 12.07.2015 11:27
  NotAfter: 12.07.2045 11:37
  Subject: CN=domainXY-RootCA, DC=domainXY, DC=CH
  Serial: 2ee48052524dfc9f4ac6c1bf64d76b90
  bfca801e7257e89cd254d6873e9868208e548ea2
  Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
  Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
  ----------------  Zertifikat abrufen  ----------------
  Keine URLs "Keine" Zeit: 0
  ----------------  Zertifikat abrufen  ----------------
  Keine URLs "Keine" Zeit: 0
  ----------------  Zertifikat-OCSP  ----------------
  Keine URLs "Keine" Zeit: 0
  --------------------------------

Exclude leaf cert:
  c08f85ea8754e0fb37b42bcdc6a3800743b14268
Full chain:
  276e28eaba62d0ec06c810af58a77eeaf1a0290f
------------------------------------
Verfizierte Ausstellungsrichtlinien: Kein
Verfizierte Anwendungsrichtlinien:
    1.3.6.1.5.5.7.3.1 Serverauthentifizierung
Sperrstatussüberprüfung des untergeordneten Zertifikats erfolgreich abgeschlosse
n.
CertUtil: -verify-Befehl wurde erfolgreich ausgeführt.

bearbeitet von andrew
Link zu diesem Kommentar

Hi andrew,

 

schau einmal hier hinein - https://technet.microsoft.com/en-US/library/cc770413(v=ws.10).aspx. Im Eventlog des OCSP Responders solltest Du alle relevanten Infos finden.

 

Davon ab bin ich mir nicht sicher, ob certutil die Daten korrekt anzeigt. Probier es bitte auch einmal mit "pkiview.msc", zum Beispiel direkt von Deiner CA aus.

 

Viele Grüße

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...