Jump to content

Zertifikatsperrliste (CRL) aktualisieren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin liebes Forum,

 

ich verzweifle gerade daran, eine CRL auf einer CA zu aktualisieren.

Gestern sind die CRLs von beiden Locations abgelaufen und der Zertifikatsdienst hat seinen Dienst verweigert.

Ich habe dann von der offline CA eine neue erstellt und in die online CA importiert und veröffentlicht (für LDAP).

Seitdem startet auch der Zertifikatsdienst auch wieder 😅

Jetzt habe ich noch eine abgelaufene CRL von der zweiten Location (HTTP), die ich ums verrecken nicht aktualisiert bekomme.

Hat jemand einen Tipp für mich, wo ich da ansetzen muss?

 

 

Viele Grüße

 

Andy

PKI CRL.png

Link zu diesem Kommentar

Hi,

 

zunächst: Veröffentliche bitte nichts via LDAP. Das unterstützt außer Windows selbst niemand. Die Diese Distribution Points solltest Du au den Zertifikaten entfernen. Zumal Offline-Root-CA die eh nicht ohne weiteres aktualisieren kann. Denn sie ist kein Domain member.

Der Distribution Point in den ausgestellten SUB-CA-Zertifikat muss auf einen HTTP-Server zeigen, der erreichbar ist. Auch sollte die CRL-Gültigkeit der ROOT-CA möglichst lang sein, da man eine SUB-CA eher selten zurückzieht.

Ansonsten musst Du die Offline-Root regelmäßig einschalten, die CRL aktualisieren und auf den funktionsfähigen Webserver kopieren.

Ein wenig hängt das alles auch von den Sicherheitsanforderungen ab. Natürlich könnte man den Webserver auf der Offline-Root-CA platzieren und eingeschaltet lassen...  

Link zu diesem Kommentar

Moin,

 

ich interpretiere die drei Punke am Ende von Zahnis Satz als Sarkasmus im Sinne von "... aber damit würde man das Konzept zerstören". ;-)

 

@dr_wahnsinnig wofür und in welchem Umfang wird die PKI denn verwendet? Wenn sie wichtiger ist, wäre meine Empfehlung, sie gemeinsam mit jemandem, der sich auskennt, neu zu machen. Das ist typischerweise ein Aufwand von 1-3 bezahlten Tagen.

 

Gruß, Nils

 

Link zu diesem Kommentar
vor 23 Minuten schrieb zahni:

Ich und Norbert könnten da auch einen Spezialisten empfehlen...

Moin,

 

wahrscheinlich den Nils, richtig? ;-)

Die PKI ist für eine Citrix-Umgebung, die eben Zertifikate für die VDIs und die Benutzer ausgibt.

Die CRLs liegen alle an der selben Stelle. für die iCA sind auch beide Locations aktuell, für die rCA eben nicht die zweite Location (siehe Anhang).

Aktuell habe ich auch keine Probleme mit der Zertifikatsverteilung. Mich stört nur die abgelaufene CRL und dass ich sie eben nicht verlängern kann.

 

Gruß

Andy

 

PKI CRL iCA.jpeg

bearbeitet von dr_wahnsinnig
Link zu diesem Kommentar

Moin,

 

dann wäre eine konkrete Fehlermeldung evtl. hilfreicher als die vermutlich nicht vom System stammende Aussage

vor einer Stunde schrieb dr_wahnsinnig:

die ich ums verrecken nicht aktualisiert bekomme

 

Wo du typischerweise ansetzen musst, hat dir Norbert oben beantwortet. Wenn das nicht hilft, kannst du gern weitere konkrete Fragen stellen.

 

Gruß, Nils

PS. möglicherweise möchtest du den Namen der Firma aus dem Screenshot entfernen.

bearbeitet von NilsK
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...