RootCA Sperrliste veröffentlichen: Fehler > Eine erforderliche CRL-Erweiterung ist nicht vorhanden

[andrew 15]

hello together

 

Testumgebung Hyper-V Host mit div. VMs, unter anderem einen Server 2012R2 DC mit separater VM als Offline RootCA frisch installiert.

 

Damit die zukünftige RootCA div. Einstellungen bei der Installation mit auf den Weg bekommt, habe ich auf der zu installierenden RootCA im Verzeichnis C:\Windows folgende CAPolicy.inf Datei erstellt:

 

----------------

[Version]
Signature="$Windows NT$"

 

[Certsrv_Server]
RenewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=20

 

CRLPeriod=weeks
CRLPeriodUnits=26
CRLDeltaPeriod=days
CRLDeltaPeriodUnits=0

 

LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1

 

[CRLDistributionPoint]
[AuthorityInformationAccess]

---------------

 

Bevor ich die Installation der RootCA via PowerShell angestossen habe, zuerst via PowerShell folgende Kommandos abgesetzt

 

---------------

Set-ExecutionPolicy RemoteSigned -Force
Install-WindowsFeature Adcs-cert-Authority –IncludeManagementTools
Install-WindowsFeature RSAT-ADCS-Mgmt

---------------

 

Danach die Installation anbei via folgenden PowerShell Befehl durchgeführt (dazu das hierzu verwendete PowerShell Skript editiert, sieht dann so aus):

 

---------------

Install-AdcsCertificationAuthority -CAType StandaloneRootCA `
                                   -CACommonName "IT-NetX Root CA" `
                                   -KeyLength 4096 `
                                   -HashAlgorithmName SHA512 `
                                   -CryptoProviderName "RSA#Microsoft Software Key Storage Provider" `
                                   -DatabaseDirectory "C:\RootCA\DB" `
                                   -LogDirectory "C:\RootCA\LOGs" `
                                   -ValidityPeriod Years `
                                   -ValidityPeriodUnits 20

---------------

 

Im nächsten Schritt habe ich via rechte Maustaste auf RootCA/ Eigenschaften/ Reiter "Erweiterungen" folgende Anpassungen vorgenommen

 

Punkt: Sperrliste-Verteilpunkt angepasst

> alle URLs entfernt bis auf einen:

C:\Windows\System32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

 

Die Option

> Sperrlisten an diesem Ort veröffentlichen

und die Option

> Deltasperrlisten an diesem Ort veröffentlichen

habe ich so belassen, damit die RootCA das RootCert und die Sperrliste an diesem Ort hier veröffentlicht

C:\Windows\System32\CertSrv\CertEnroll\

 

Danach zusätzlich einen weiteren Sperrlisten-Verteilpunkt aufgeführt, als HTTP URL, in der Form:

> http://ca.meineDomain.ch<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

und hierbei folgende zwei Optionen angekreuzt

> In Sperrlisten einbeziehen. Wird zur Suche von Deltasperrlisten verwendet

> in CDP Erweiterung des ausgestellten Zertifikats einbeziehen

 

Punkt: Zugriff auf Stellen-Informationen (AIA)

Hier bin ich analog dem soeben geschilderten Vorgehen (Sperrlisten-Verteilpunkt) vorgegangen Und: habe für die manuell hinzugefügte HTTP URL die Option angekreuzt

> in AIA-Erweiterung des ausgestellten Zertifikats einbeziehen

 

 

So, nun ging es noch darum, sowohl das RootCA und die vom RootCA ausgestellte Sperrliste auf die zukünftige SubCA zu kopieren bzw. vorerst mal in eine Freigabe auf dem Domain Controller (Die Dinger braucht man für die spätere Installation, bin ja noch lange nicht fertig, die zweistufige PKI in meiner Testumgebung einzurichten)

 

Somit

> RootCA Cert

> RootCA Sperrliste auf einen Share kopiert

 

Danach habe ich versucht, sowohl RootCA Cert und auch RootCA Sperrliste im AD zu veröffentlichen.

 

> RootCA Cert konnte ich erfolgreich im AD veröffentlichen, via Befehl

 certutil –dspublish –f MaschineSRV03_MusterFirma-RootCA.crt RootCA (die hier gewählten Namen sind erfunden)

 

 

Jedoch scheitere ich daran, die RootCA Sperrliste im AD zu veröffentlichen

Anbei der Fehlertext (habe zwei Versuche gestartet, nachdem es beim erstem Mal nicht funktionierte, hatte ich auf der RootCA händisch die Sperrliste nochmals veröffentlicht und nochmals versucht, diese neue Sperrliste im AD zu veröffentlichen (darum zwei verschiedene Fehlermeldungen)

 

Fehlermeldung beim Veröffentlichen der RootCA Sperrliste

-----------------------

PS D:\Admin\Backup\CAs\Root-CA\CertEnroll Export> certutil -dspublish -f "Muster Root CA.CRL"
ldap:///CN=Muster Root CA,CN=MaschineSRV04,CN=CDP,CN=Public Key Services,CN=Services,DC=UnavailableConfigDN?certificateRevo
cationList?base?objectClass=cRLDistributionPoint?certificateRevocationList

ldap: 0xa: 0000202B: RefErr: DSID-0310082F, data 0, 1 access points
        ref 1: 'unavailableconfigdn'

CertUtil: -dsPublish-Befehl ist fehlgeschlagen: 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL)
CertUtil: Eine Referenzauswertung wurde vom Server zurückgesendet.

 

 

PS D:\Admin\Backup\CAs\Root-CA\CertEnroll Export> certutil -dspublish -f "Muster Root CA.CRL"
Eine erforderliche CRL-Erweiterung ist nicht vorhanden.
CertUtil: -dsPublish-Befehl ist fehlgeschlagen: 0x80070490 (WIN32: 1168 ERROR_NOT_FOUND)
CertUtil: Element nicht gefunden.

----------------------------

 

 

Hat Jemand schon dieses Problem gehabt oder ist diesem Fehler begegnet?