RobPop 0 Geschrieben 26. Januar 2019 Melden Teilen Geschrieben 26. Januar 2019 (bearbeitet) Hallo, Ich habe eine Offline-Root-Ca und eine Sub-Ca nun wollte ich wieder mal das Zertifizierungsstellenzertifikat für die Sub-CA erneuern, wie schon des Öfteren in der Vergangenheit. Leider bekomme ich nun den oben genannten Fehler. Beide Virtuelle Maschinen benutzen das Betriebssystem Windows Server 2012 R2. Die Root-Ca ist nicht in der Domäne, die Sub-Ca hingegen schon. Folgendermaßen bin ich vorgegangen -> Zertifizierungsstellenzertifikat erneuern -> C:\Windows\System32\certsrv\CertEnroll\*.crt zur Offline-Root-Ca kopiert ->Auf der Root-Ca dann eine neue Anforderung eingerichtet -> Dann die Anforderung ausgestellt -> Dann das erstellte Zertifikat exportiert -> Dann das Zertifikat bei Sub-Ca in “Vertrauenswürdige Stammzertifizierungsstellen” importiert -> Dann in der Zertifizierungsstelle installiert -> Da kam dann der Fehler mit CRYP_E_NO_REVOCATON_CHECK bekommen. Dazu muss ich sagen ich habe vorher bei der Root-Ca die ValidityPeriodUnits REG_DWORD auf 5 gestellt. Unter PKIVIEW.msc werden Fehler angezeigt und zwar folgende: - Zertifizierungsstellenzertifikat: Sperrstatus unbekannt - AIA Speicherort#1: Download nicht möglich - Speicherort für Sperrlistenverteilungspunkte#1: Download nicht möglich Wäre super wenn mir jemand hierbei weiterhelfen könnte. Gruß Rob bearbeitet 27. Januar 2019 von RobPop Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 27. Januar 2019 Melden Teilen Geschrieben 27. Januar 2019 Moin, vermutlich hast du für AIA (Speicherort für Informationen über die CA) und CRL (Zertifikatssperrliste) Werte angegeben, die ungültig sind. Jetzt gibt es keinen Pfad, an dem ein Client diese Daten abrufen kann. Was steht denn in den vorhandenen Zertifikaten und den verwendeten Zertifikatsvorlagen dazu drin? Und auf was für "5" hast du die Gültigkeit umgestellt? Jahre? Tage? ...? Wie lang ist denn das Root-Zertifikat noch gültig? Gruß, Nils Zitieren Link zu diesem Kommentar
RobPop 0 Geschrieben 27. Januar 2019 Autor Melden Teilen Geschrieben 27. Januar 2019 (bearbeitet) Hallo Nils, erstmal Dank für deine Hilfe. Ich bin leider kein Zertifikatsprofi, ich denke ich habe keine Einstellung in den Zertifikatssperrlisten getätigt, falls ja dann unbewusst. Ich habe die Root-CA von einem Jahr auf 5 Jahre abgeändert. Erst mal sorry, ich weiß nicht genau wo ich nachsehen soll. Welche Zertifikate und Zertifikatsvorlagen meinst du, die in der Sub-CA? Und welche Informationen aus den Zertifikaten benötigst du? Ich habe das nun schon ein paar mal probiert, jetzt habe eine menge Zertifikate. Siehe: Ich habe komischerweise zwei Root-Zertifikate, eins läuft bi 28.02.2042 und das andere bis 26.02.2041. Gruß Robert bearbeitet 27. Januar 2019 von RobPop Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 27. Januar 2019 Melden Teilen Geschrieben 27. Januar 2019 Moin, ja ... leider ist eine Windows-PKI auch mit aktuellen Betriebssystemen nicht leicht zu handhaben. Alles keine Technik, die undurchdringlich wäre, aber leider unnötig kompliziert gemacht. Anscheinend hast du da jetzt schon einiges rumprobiert. Da eine CA ein sicherheitskritisches System ist, rate ich davon ab, an der Stelle jetzt mit Forensupport weiter zu machen. Ein Dienstleister, der sich auskennt, sollte da mit vertretbarem Aufwand das Nötige tun können, ohne zusätzliche Risiken zu erzeugen. Eine Root-CA auf fünf Jahre zu setzen, wäre keine gute Idee. Aber vielleicht ist das jetzt auch nur ein Missverständnis. Gruß, Nils Zitieren Link zu diesem Kommentar
RobPop 0 Geschrieben 27. Januar 2019 Autor Melden Teilen Geschrieben 27. Januar 2019 (bearbeitet) Hi, ja ich weiß, aber bis Dato hat es immer geklappt. Bin da nach Schema F vorgegangen. Ich hätte von der Sub-CA und von der Root-CA noch ein Backup. Meinst nicht das es vielleicht wieder klappen könnten wenn ich die Root-CA wieder auf ein Jahr zurücksetze? Die Laufzeit der Zertifikate für ein Jahr ist irgendwie zu wenig. Oder würde es evtl. reichen die Root-CA auf einen vorherigen Snapshot zurückzusetzen? Ich hatte ja 2 - Root-Zertifikate, jetzt habe ich das zweite Root-Zertifikat in das CertEnroll-Verzeichnis kopiert der Sub-CA kopiert und noch mal eine Zertifizierungsstellen-Erneuerung gemacht und siehe da ich habe in der PKI-View nur noch einen Fehler. Was könnte das für ein Fehler noch sein (Sperrstatus unbekannt)? Gruß Robert bearbeitet 27. Januar 2019 von RobPop Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 27. Januar 2019 Melden Teilen Geschrieben 27. Januar 2019 Schema f ist aber vielleicht keine gute Idee, wenn man das Prinzip nicht verstanden hat. Ich bin da eher bei Nils. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 27. Januar 2019 Melden Teilen Geschrieben 27. Januar 2019 (bearbeitet) Moin, siehst du, genau sowas meine ich. Dir fehlen Kenntnisse der Technik (was an sich kein Problem ist), und jetzt versuchst du aufs Geratewohl herum (und da ist das Problem). Sowas macht man nicht mit einer zentralen Sicherheitskomponente. Nimm es mir nicht übel, aber solche kritischen Systeme supporte ich nicht auf dieser Ebene in einem Forum. Gruß, Nils bearbeitet 27. Januar 2019 von NilsK Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.