Zert. Sperrprüfung konnte nicht durchgeführt werden

[d-w 1]

Folgendes Problem habe ich mit einem selbst erstellten Zert. für RDP-Verbindungen. Der RDP-Client kann unter der angegebenen URL offensichtlich keine Sperrliste finden (zumindest interpretiere ich die Meldung so).

Rufe ich den Pfad mit einem Browser auf, kann ich eine CRL-Datei herunterladen.

Konfiguriert wurde die Vorlage wie folgt:

 

Vorlageinfo:

Vorlagenanzeigename: Computer-v1.1(RDP)
Objektkennung: 1.3.6.1.4.1.311.21.8.13645222.10093887.13977273.6323328.12774183.61.4996142.16601744
Typ des Antragstellers: Computer
Maximale Versionsnummer: 100

 

Die Zertifikateigenschaften (PS: Get-ChildItem Cert:\LocalMachine\Root\ | where{$_.Subject -like "*RDP*"}):

Subject      : CN=SVR-RDS-BROKER, OU=RDS-Server, OU=SBSServers, OU=Computers, OU=MyBusiness, DC=local, DC=domain
Issuer       : CN=Enterprise Certificate Authority, DC=domain, DC=local
Thumbprint   : A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
FriendlyName : RDP-Zertifikat
NotBefore    : 29.07.2022 10:25:06
NotAfter     : 28.07.2025 10:25:06
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid,
               System.Security.Cryptography.Oid...}

 

Allerdings liefert mir der PS-Befehl 2 Zertifikate als Ergebnis, die identisch sind. Kann es daran liegen?

Ich stehe irgendwie auf dem Schlauch und bin für jede konstr. Hilfe dankbar. Sollten noch Infos fehlen, so liefere ich diese gerne nach.

 

[tesso 375]

Ist die crl erreichbar und aktuell?

[d-w 1]

vor einer Stunde schrieb tesso:

Ist die crl erreichbar und aktuell?

Erreichbar ist sie, allerdings sehe ich in der CRL diese Infos.

Blöde Frage - wie behebe ich das oder muss das so aussehen? In der CA werden per default die Sperrliste alle 2 Wochen und die Deltasperrliste tgl. veröffentlicht.

 

bearbeitet 6. September 2022 von d-w

[NorbertFe 2.032]

Gerade eben schrieb d-w:

In der CA werden per default die Sperrliste alle 2 Wochen und die Deltasperrliste tgl. veröffentlicht.

Und wo landet diese Aktualisierung? Offenbar ja nicht unter http://pki….

[tesso 375]

Das Datum sagt was anderes (2019 ist nicht soooo dicht an Q3 '22)

Entweder läuft die Aktualisierung nicht oder wie Norbert auch schon bemerkte landen die Aktualisierungen woanders.

[d-w 1]

vor einer Stunde schrieb tesso:

Das Datum sagt was anderes (2019 ist nicht soooo dicht an Q3 '22)

Entweder läuft die Aktualisierung nicht oder wie Norbert auch schon bemerkte landen die Aktualisierungen woanders.

So isses. Die Aktualisierung schlägt fehl:

"Der Verzeichnisname ist ungültig. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)"

Die Sperrliste landet hier: C:\Windows\System32\CertSrv\CertEnroll

Die darin enthaltenen CRLs sind aktuell, allerdings scheitere ich bei der Umsetzung, den Zugriff über die certsrv zu verwalten, wie hier beschrieben: https://www.gradenegger.eu/?p=828

Will ich die CRLs neu veröffentlichen, erhalte ich wieder die Fehlermeldung von oben. Per UNC ist die Freigabe erreichbar.

 

 

[NorbertFe 2.032]

Autschn. ;) Ich würd das mal grade ziehen. Theoretisch ist der UNC Pfad da schon korrekt, vorausgesetzt die CA-Maschine hat ma Zielort auch Schreibrechte. Und File schreibt man natürlich nicht in die CDP Erweiterung. ;) Wo liegt denn der UNC Pfad? Direkt auf deiner CA? Wohin zeigt der Webserver? Auf c:\windows\system32\certsrv\Certenroll?

[testperson 1.675]

Hi,

 

was macht die PKI denn sonst noch so "gewolltes"? Vielleicht wäre es einfacher dem Broker ein Zertifikat einer öffentlichen CA zu spendieren bzw. Let's Encrypt o.ä. zu nutzen.

(PKI Diskussion in drei, zwei, eins... )

 

Gruß

Jan

[NorbertFe 2.032]

https://tenor.com/view/vince-vaughn-negative-town-wedding-crashers-dont-be-negative-gif-12345613

bearbeitet 6. September 2022 von NorbertFe

[d-w 1]

vor 1 Stunde schrieb NorbertFe:

Autschn. ;) Ich würd das mal grade ziehen. Theoretisch ist der UNC Pfad da schon korrekt, vorausgesetzt die CA-Maschine hat ma Zielort auch Schreibrechte. Und File schreibt man natürlich nicht in die CDP Erweiterung. ;) Wo liegt denn der UNC Pfad? Direkt auf deiner CA? Wohin zeigt der Webserver? Auf c:\windows\system32\certsrv\Certenroll?

Danke für deine Tipps, die Probleme wurden behoben. Keine Ahnung, warum die Präfixe file:// in der Konfig standen. Nach dem Geradebiegen des Pfades gibt es keine CRL-Warnung mehr. Das ist alles nukular...

[NilsK 2.934]

Moin,

 

vor 4 Stunden schrieb d-w:

In der CA werden per default die Sperrliste alle 2 Wochen und die Deltasperrliste tgl. veröffentlicht.

wow, wieviel sperrt ihr denn so, dass ihr solche Intervalle braucht? Oder um Jans Frage noch mal zu stellen: Wozu dient denn die CA? Wenn sie wichtig ist (darauf würde das CRL-Intervall hindeuten), dann solltet ihr noch mal dringend über das Design und die Details der Implementierung nachdenken. Wenn sie nicht wichtig ist (darauf deutet hin, dass ihr drei Jahre lang nicht gemerkt habt, dass die CRL nicht wirksam aktualisiert wird), dann solltet ihr sie vielleicht abschaffen - ernst gemeint, denn eine schlecht betriebene CA ist ein Risiko.

 

Gruß, Nils