Jump to content

Zertifizierungsstellen Fehler Sperrliste - CRYPT_E_NO_REVOCATION_CHECK

RobPop

Von RobPop
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

RobPop Rookie

RobPop   0

Geschrieben
Geschrieben (bearbeitet)

Hallo,

 

Ich habe eine Offline-Root-Ca und eine Sub-Ca nun wollte ich wieder mal das Zertifizierungsstellenzertifikat für die Sub-CA erneuern, wie schon des Öfteren in der Vergangenheit.

Leider bekomme ich nun den oben genannten Fehler.

Beide Virtuelle Maschinen benutzen das Betriebssystem Windows Server 2012 R2. Die Root-Ca ist nicht in der Domäne, die Sub-Ca hingegen schon.

 

Folgendermaßen bin ich vorgegangen -> Zertifizierungsstellenzertifikat erneuern -> C:\Windows\System32\certsrv\CertEnroll\*.crt zur Offline-Root-Ca kopiert ->Auf der Root-Ca dann eine neue Anforderung eingerichtet -> Dann die Anforderung ausgestellt -> Dann das erstellte Zertifikat exportiert ->

Dann das Zertifikat bei Sub-Ca in “Vertrauenswürdige Stammzertifizierungsstellen” importiert -> Dann in der Zertifizierungsstelle installiert -> Da kam dann der Fehler mit CRYP_E_NO_REVOCATON_CHECK bekommen.

Dazu muss ich sagen ich habe vorher bei der Root-Ca die ValidityPeriodUnits REG_DWORD  auf 5 gestellt.

Unter PKIVIEW.msc werden Fehler angezeigt und zwar folgende:

- Zertifizierungsstellenzertifikat: Sperrstatus unbekannt

- AIA Speicherort#1: Download nicht möglich

- Speicherort für Sperrlistenverteilungspunkte#1: Download nicht möglich

Wäre super wenn mir jemand hierbei weiterhelfen könnte.

Gruß

Rob

bearbeitet von RobPop
Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin,

 

vermutlich hast du für AIA (Speicherort für Informationen über die CA) und CRL (Zertifikatssperrliste) Werte angegeben, die ungültig sind. Jetzt  gibt es keinen Pfad, an dem ein Client diese Daten abrufen kann.

Was steht  denn in den vorhandenen Zertifikaten und den verwendeten Zertifikatsvorlagen dazu drin?

 

Und auf was für "5" hast du die Gültigkeit umgestellt? Jahre? Tage? ...? Wie lang ist denn das Root-Zertifikat noch gültig?

 

Gruß, Nils

 

Link zu diesem Kommentar
RobPop Rookie

RobPop   0

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Hallo Nils,

 

erstmal Dank für deine Hilfe.

Ich bin leider kein Zertifikatsprofi, ich denke ich habe keine Einstellung in den Zertifikatssperrlisten getätigt, falls ja dann unbewusst.

Ich habe die Root-CA von einem Jahr auf 5 Jahre abgeändert.

 

Erst mal sorry, ich weiß nicht genau wo ich nachsehen soll.

Welche Zertifikate und Zertifikatsvorlagen meinst du, die in der Sub-CA?

Und welche Informationen aus den Zertifikaten benötigst du?

Ich habe das nun schon ein paar mal probiert, jetzt habe eine menge Zertifikate. Siehe:

 

Sub_CA.PNG

 

Ich habe komischerweise zwei Root-Zertifikate, eins läuft bi 28.02.2042 und das andere bis 26.02.2041.

 

Gruß

Robert

 

bearbeitet von RobPop
Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin,

 

ja ... leider ist eine Windows-PKI auch mit aktuellen Betriebssystemen nicht leicht zu handhaben. Alles keine Technik, die undurchdringlich wäre, aber  leider unnötig kompliziert gemacht.

 

Anscheinend hast du da jetzt schon einiges rumprobiert. Da eine CA ein sicherheitskritisches System ist, rate ich davon ab, an der Stelle jetzt mit Forensupport weiter zu machen. Ein Dienstleister, der sich auskennt, sollte da mit vertretbarem Aufwand das Nötige tun können, ohne zusätzliche Risiken zu erzeugen.

 

Eine Root-CA auf fünf Jahre zu setzen, wäre keine gute Idee. Aber vielleicht ist das jetzt auch nur ein Missverständnis.

 

Gruß, Nils

 

Link zu diesem Kommentar
RobPop Rookie

RobPop   0

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Hi,

 

ja ich weiß, aber bis Dato hat es immer geklappt. Bin da nach Schema F vorgegangen. Ich hätte von der Sub-CA und von der Root-CA noch ein Backup.

Meinst nicht das es vielleicht wieder klappen könnten wenn ich die Root-CA wieder auf ein Jahr zurücksetze? Die Laufzeit der Zertifikate für ein Jahr ist irgendwie zu wenig.

Oder würde es evtl. reichen die Root-CA auf einen vorherigen Snapshot zurückzusetzen?

 

Ich hatte ja 2 - Root-Zertifikate, jetzt habe ich das zweite Root-Zertifikat in das CertEnroll-Verzeichnis kopiert der Sub-CA kopiert und noch mal eine Zertifizierungsstellen-Erneuerung gemacht und siehe da ich habe in der PKI-View nur noch einen Fehler. Was könnte das für ein Fehler noch sein (Sperrstatus unbekannt)?

 

 

 

Gruß

Robert 

 

 

Unternehmens-PKI.PNG

bearbeitet von RobPop
Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

siehst du, genau sowas meine ich. Dir fehlen Kenntnisse der Technik (was an sich kein Problem ist), und jetzt versuchst du aufs Geratewohl herum (und da ist das Problem). Sowas macht  man nicht mit einer zentralen Sicherheitskomponente.

 

Nimm es mir nicht übel, aber solche kritischen Systeme supporte ich nicht auf dieser Ebene in einem Forum.

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...