andrew 15 Geschrieben 6. Januar 2016 Melden Teilen Geschrieben 6. Januar 2016 (bearbeitet) hello together Habe auf meiner zweistufigen CA auf der SubCA, rechte Maustaste Eigenschaften, Reiter (Register) Erweitert, Punkt: Zugriff auf Stelleninformationen zwei URLs hinterlegt => http://aia.domainXY.ch/crl/...... angekreuzt habe ich hierbei: "in AIA-Erweiterung des ausgestellten Zertifikats einbeziehen"=> http://ocsp.domainXY.ch/ocsp angekreuzt habe ich hierbei: "In Online Certificate Status-Protocol(OCSP)-Erweiterungen einbeziehen" Mit dem Kommandozeilentool Certutil habe ich dann mein neue generiertes Exchange Zertifikat auf OCSP Tauglichkeit getestet, wie folgtcertutil -verify -urlfetch -v PfadZumExchangeCert.cer dabei war unteranderem betreffend OCSP eine Fehlermeldung aufgetaucht, welche leider nicht wirklich aussagekräftig ist Frage: Was habe ich für Möglichkeiten, um herausfinden zu können, wo oder warum genau die Meldung erscheint, OCSP Prüfung nicht erfolgreich - gibt es OCSP LOGs oder sonst Tools, mit welchen ich mehr Details zur OCSP Prüfung erhalte? ---------------- Zertifikat-OCSP ----------------http://ocsp.domainXY.ch/ocsp/MFQwUjBQME4wTDAJBgUrDgMCGgUABBS2KUBXeVRxGHM%2fXVq9neJilQK%2fjAQU%2byCMJb1UTlKiALx43stiFHuEYxgCExIAAAAFlIeybqG%2fjjMAAAAAAAU%3d?Content-Type: application/ocsp-request Nicht erfolgreich "OCSP" Zeit: 0 [0.0] http://ocsp.domainXY.ch/ocsp -------------------------------- CRL 08: Issuer: CN=domainXY-RootCA, DC=domainXY, DC=CH ThisUpdate: 04.01.2016 12:11 NextUpdate: 03.01.2017 00:31 46de5d4ee5ff9ad75e1a81f884fe4e934c7aa93e CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0 Issuer: CN=domainXY-RootCA, DC=domainXY, DC=CH NotBefore: 12.07.2015 11:27 NotAfter: 12.07.2045 11:37 Subject: CN=domainXY-RootCA, DC=domainXY, DC=CH Serial: 2ee48052524dfc9f4ac6c1bf64d76b90 bfca801e7257e89cd254d6873e9868208e548ea2 Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4) Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ---------------- Zertifikat abrufen ---------------- Keine URLs "Keine" Zeit: 0 ---------------- Zertifikat abrufen ---------------- Keine URLs "Keine" Zeit: 0 ---------------- Zertifikat-OCSP ---------------- Keine URLs "Keine" Zeit: 0 -------------------------------- Exclude leaf cert: c08f85ea8754e0fb37b42bcdc6a3800743b14268Full chain: 276e28eaba62d0ec06c810af58a77eeaf1a0290f------------------------------------Verfizierte Ausstellungsrichtlinien: KeinVerfizierte Anwendungsrichtlinien: 1.3.6.1.5.5.7.3.1 ServerauthentifizierungSperrstatussüberprüfung des untergeordneten Zertifikats erfolgreich abgeschlossen.CertUtil: -verify-Befehl wurde erfolgreich ausgeführt. bearbeitet 6. Januar 2016 von andrew Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. Januar 2016 Melden Teilen Geschrieben 7. Januar 2016 Hi andrew, schau einmal hier hinein - https://technet.microsoft.com/en-US/library/cc770413(v=ws.10).aspx. Im Eventlog des OCSP Responders solltest Du alle relevanten Infos finden. Davon ab bin ich mir nicht sicher, ob certutil die Daten korrekt anzeigt. Probier es bitte auch einmal mit "pkiview.msc", zum Beispiel direkt von Deiner CA aus. Viele Grüße olc 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.