d-w 1 Geschrieben 6. September 2022 Melden Teilen Geschrieben 6. September 2022 Folgendes Problem habe ich mit einem selbst erstellten Zert. für RDP-Verbindungen. Der RDP-Client kann unter der angegebenen URL offensichtlich keine Sperrliste finden (zumindest interpretiere ich die Meldung so). Rufe ich den Pfad mit einem Browser auf, kann ich eine CRL-Datei herunterladen. Konfiguriert wurde die Vorlage wie folgt: Vorlageinfo: Vorlagenanzeigename: Computer-v1.1(RDP) Objektkennung: 1.3.6.1.4.1.311.21.8.13645222.10093887.13977273.6323328.12774183.61.4996142.16601744 Typ des Antragstellers: Computer Maximale Versionsnummer: 100 Die Zertifikateigenschaften (PS: Get-ChildItem Cert:\LocalMachine\Root\ | where{$_.Subject -like "*RDP*"}): Subject : CN=SVR-RDS-BROKER, OU=RDS-Server, OU=SBSServers, OU=Computers, OU=MyBusiness, DC=local, DC=domain Issuer : CN=Enterprise Certificate Authority, DC=domain, DC=local Thumbprint : A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436 FriendlyName : RDP-Zertifikat NotBefore : 29.07.2022 10:25:06 NotAfter : 28.07.2025 10:25:06 Extensions : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid...} Allerdings liefert mir der PS-Befehl 2 Zertifikate als Ergebnis, die identisch sind. Kann es daran liegen? Ich stehe irgendwie auf dem Schlauch und bin für jede konstr. Hilfe dankbar. Sollten noch Infos fehlen, so liefere ich diese gerne nach. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 6. September 2022 Melden Teilen Geschrieben 6. September 2022 Ist die crl erreichbar und aktuell? Zitieren Link zu diesem Kommentar
d-w 1 Geschrieben 6. September 2022 Autor Melden Teilen Geschrieben 6. September 2022 (bearbeitet) vor einer Stunde schrieb tesso: Ist die crl erreichbar und aktuell? Erreichbar ist sie, allerdings sehe ich in der CRL diese Infos. Blöde Frage - wie behebe ich das oder muss das so aussehen? In der CA werden per default die Sperrliste alle 2 Wochen und die Deltasperrliste tgl. veröffentlicht. bearbeitet 6. September 2022 von d-w Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 6. September 2022 Melden Teilen Geschrieben 6. September 2022 Gerade eben schrieb d-w: In der CA werden per default die Sperrliste alle 2 Wochen und die Deltasperrliste tgl. veröffentlicht. Und wo landet diese Aktualisierung? Offenbar ja nicht unter http://pki…. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 6. September 2022 Melden Teilen Geschrieben 6. September 2022 Das Datum sagt was anderes (2019 ist nicht soooo dicht an Q3 '22) Entweder läuft die Aktualisierung nicht oder wie Norbert auch schon bemerkte landen die Aktualisierungen woanders. 1 Zitieren Link zu diesem Kommentar
d-w 1 Geschrieben 6. September 2022 Autor Melden Teilen Geschrieben 6. September 2022 vor einer Stunde schrieb tesso: Das Datum sagt was anderes (2019 ist nicht soooo dicht an Q3 '22) Entweder läuft die Aktualisierung nicht oder wie Norbert auch schon bemerkte landen die Aktualisierungen woanders. So isses. Die Aktualisierung schlägt fehl: "Der Verzeichnisname ist ungültig. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)" Die Sperrliste landet hier: C:\Windows\System32\CertSrv\CertEnroll Die darin enthaltenen CRLs sind aktuell, allerdings scheitere ich bei der Umsetzung, den Zugriff über die certsrv zu verwalten, wie hier beschrieben: https://www.gradenegger.eu/?p=828 Will ich die CRLs neu veröffentlichen, erhalte ich wieder die Fehlermeldung von oben. Per UNC ist die Freigabe erreichbar. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 6. September 2022 Melden Teilen Geschrieben 6. September 2022 Autschn. ;) Ich würd das mal grade ziehen. Theoretisch ist der UNC Pfad da schon korrekt, vorausgesetzt die CA-Maschine hat ma Zielort auch Schreibrechte. Und File schreibt man natürlich nicht in die CDP Erweiterung. ;) Wo liegt denn der UNC Pfad? Direkt auf deiner CA? Wohin zeigt der Webserver? Auf c:\windows\system32\certsrv\Certenroll? Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 6. September 2022 Melden Teilen Geschrieben 6. September 2022 Hi, was macht die PKI denn sonst noch so "gewolltes"? Vielleicht wäre es einfacher dem Broker ein Zertifikat einer öffentlichen CA zu spendieren bzw. Let's Encrypt o.ä. zu nutzen. (PKI Diskussion in drei, zwei, eins... ) Gruß Jan Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 6. September 2022 Melden Teilen Geschrieben 6. September 2022 (bearbeitet) https://tenor.com/view/vince-vaughn-negative-town-wedding-crashers-dont-be-negative-gif-12345613 bearbeitet 6. September 2022 von NorbertFe 1 Zitieren Link zu diesem Kommentar
d-w 1 Geschrieben 6. September 2022 Autor Melden Teilen Geschrieben 6. September 2022 vor 1 Stunde schrieb NorbertFe: Autschn. ;) Ich würd das mal grade ziehen. Theoretisch ist der UNC Pfad da schon korrekt, vorausgesetzt die CA-Maschine hat ma Zielort auch Schreibrechte. Und File schreibt man natürlich nicht in die CDP Erweiterung. ;) Wo liegt denn der UNC Pfad? Direkt auf deiner CA? Wohin zeigt der Webserver? Auf c:\windows\system32\certsrv\Certenroll? Danke für deine Tipps, die Probleme wurden behoben. Keine Ahnung, warum die Präfixe file:// in der Konfig standen. Nach dem Geradebiegen des Pfades gibt es keine CRL-Warnung mehr. Das ist alles nukular... Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 6. September 2022 Melden Teilen Geschrieben 6. September 2022 Moin, vor 4 Stunden schrieb d-w: In der CA werden per default die Sperrliste alle 2 Wochen und die Deltasperrliste tgl. veröffentlicht. wow, wieviel sperrt ihr denn so, dass ihr solche Intervalle braucht? Oder um Jans Frage noch mal zu stellen: Wozu dient denn die CA? Wenn sie wichtig ist (darauf würde das CRL-Intervall hindeuten), dann solltet ihr noch mal dringend über das Design und die Details der Implementierung nachdenken. Wenn sie nicht wichtig ist (darauf deutet hin, dass ihr drei Jahre lang nicht gemerkt habt, dass die CRL nicht wirksam aktualisiert wird), dann solltet ihr sie vielleicht abschaffen - ernst gemeint, denn eine schlecht betriebene CA ist ein Risiko. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.