IThome 10 Geschrieben 1. September 2005 Melden Teilen Geschrieben 1. September 2005 Hallo Leute, ich bitte Euch mal um Eure Hilfe, da ich offensichtlich ein kleines Verständnisproblem habe: Ich möchte eine Offline Root Ca erstellen mit einer untergeordneten Unternehmens-CA. Wenn ich jetzt die Zertifikatskette verifizieren möchte muss doch die Root CA in den CDP und AIA Einträgen des Root-Zertifikats einen URL bzw. einen Share angeben, der von allen erreicht werden kann. Und in diesen Verteilpunkt muss ich dann, nachdem ich auf der Root-Ca die CRL manuell veröffentlicht habe, die Dateien aus c:\windows\system32\certsrv..., die .crl Datei und die .crt Datei kopieren (per Diskette oder wie auch immer)?! Dies hier ist alles rein theoretischer Natur, ich bin im Rahmen der Vorbereitung für die 70-293 in der Windows Hilfe darauf gestossen ... Ich hoffe, es ist einigermassen verständlich, was ich meine :) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 1. September 2005 Melden Teilen Geschrieben 1. September 2005 Nein, in einer Root-CA sind üblicherweise AIA und CDP leer. Denn da man das Root-Zertifikat nicht sperren kann, weil selbstsigniert, macht es auch keinen Sinn eine Sperrliste anzugeben, die es gar nicht geben kann. Ich sagte üblicherweise, denn wenn man z.B. einfach so plain eine Root-CA bei Windows Server aufsetzt, hat diese einen AIA und einen CDP. Will man die sinnigerweise raushaben, dann muss man vor dem Aufsetzen der Root-CA im %systemroot% eine Datei CApolicy.inf platzieren, die u.a. folgende einträge enthält: [CRLDistributionPoint] Empty=true [AuthorityInformationAccess] Empty=true AIA und CDP werden jedoch in den ausgestellten Zertifikaten, auch dem der Sub-CA, angegeben. grizzly999 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 1. September 2005 Autor Melden Teilen Geschrieben 1. September 2005 Wenn aber diese Root-CA diverse Sub-CAs hat (in mehreren Ebenen oder nicht) und diese Root-CA muss ein Zertifikat einer untergeordneten CA sperren, weiß doch niemand, dass Die Sub-CA gesperrt ist, vorausgesetzt die Root ist und bleibt offline und verteilt keine CRLs oder habe ich da irgendwas komplett falsch verstanden ?! edit: ich sehe gerade, jemand anders hatte ein Problem mit einem gesperrten Zertifikat und die Liste war noch nicht verteilt. Es wusste in diesem Fall ja auch niemand, ausser der CA auf der man das Zertifikat gesperrt hat, dass es gesperrt ist. Es wäre dann doch in dem Fall der Root-CA und der Sub doch genau das gleiche oder? Nur dass alle Zertifikate, die diese Sub ausgestellt hat und alle ihr untergeordneten Subs inklusiv aller Zertifikate ungültig werden Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 1. September 2005 Melden Teilen Geschrieben 1. September 2005 Wenn aber diese Root-CA diverse Sub-CAs hat (in mehreren Ebenen oder nicht) und diese Root-CA muss ein Zertifikat einer untergeordneten CA sperren, weiß doch niemand, dass Die Sub-CA gesperrt ist, vorausgesetzt die Root ist und bleibt offline und verteilt keine CRLs Nun, die Root-CA sollte Sperrlisten verteilen, die man halt manuell in den CDP kopieren muss. Meist in deutlich größeren Abständen als bei einer ausstellenden CA, wie oft sperrt man auch eine Sub-CA?! Wenn man das nicht macht, oder die aktuelle Sperrlist ohne den Sperreintrag einer inzwischen gesperrten Sub-CA im Cache eines Rechners ist, dann bekommt er das nicht mit, das ist richtig. Das ändert nichts daran, dass das Root-zertifikat üblicherweise keine AIA unf CDP hat. grizzly999 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. September 2005 Autor Melden Teilen Geschrieben 2. September 2005 Und wo kopiere ich die CRL der CA hin? In den CDP der Subs? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.