StefanWe 14 Geschrieben Freitag um 12:31 Melden Geschrieben Freitag um 12:31 Hallo, ich habe hier im Entra CBA konfiguriert, welches auch funktioniert, solange ich keine Sperrlistenprüfung aktiviere. Grundsätzlich ist die Sperrliste in meiner PKI konfiguriert und von extern erreichbar und downloadbar. Windows meldet hier auch keine Probleme. Im Entra Portal unter Security->PKI habe ich eine PKI angelegt und dort mein Root Zertifikat hochgeladen. Auf der Root, habe ich die URL für die Sperrliste und Delta Sperrliste konfiguriert. Anschließend unter Authentication Methods die CBA aktiviert und dort das CRL Checking aktiviert und keine CA Ausnahme konfiguriert. Wenn sich nun ein User anmeldet erhält dieser die Fehlermeldung AADSTS2205018: Certificate Authority:'........' does not have a CRL specified and fails 'Require CRL validation' check. Ich habe den Fehler sowohl in meinem Lab (Root CA ist gleichzeitig die Issuing CA) als auch in einer anderen Umgebung, wo es eine Root CA und eine Issuing CA gibt. Nun die Frage, das Zertifikat der Root CA besitzt ja nie einen Verweis auf eine Sperrliste, erst die Issuing CA, bzw. die User Zertifikate. Nun die Frage, muss ich für die Root CA eine Ausnahme konfigurieren? oder woran kann es liegen? Zitieren
zahni 574 Geschrieben Freitag um 13:10 Melden Geschrieben Freitag um 13:10 Eigentlich muss die CRL in den jeweiligen Server- bzw. User-Zertifikaten konfiguriert sein. Hier musst Du die Templates entsprechend anpassen. In das Cert einer SubCA gehört die Root CA und in die Root CA nichts, weil man die nicht sperren kann. Die kann man nur als nicht vertrauenswürdig einstufen. Zitieren
StefanWe 14 Geschrieben Freitag um 13:44 Autor Melden Geschrieben Freitag um 13:44 Genau so hab ich’s ja. Nur entra meckert. Aber scheinbar ist es nen Cache Problem von entra. Jetzt scheint es zu gehen. Zitieren
zahni 574 Geschrieben Freitag um 13:52 Melden Geschrieben Freitag um 13:52 (bearbeitet) vor einer Stunde schrieb StefanWe: Auf der Root, habe ich die URL für die Sperrliste und Delta Sperrliste konfiguriert. Das hast Du geschrieben... PS: Ist denn die CRL beim Hochladen angegeben worden? CRLs sollten übrigens per HTTP unverschlüsselt erreichbar sein, und zwar extern von den Cloud-Dienst. https://learn.microsoft.com/de-de/entra/identity/authentication/how-to-certificate-based-authentication https://www.gradenegger.eu/en/using-http-over-transport-layer-security-https-for-the-block-list-distribution-points/ bearbeitet Freitag um 14:02 von zahni Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.