Jump to content

Unternehmens-PKI: http-Fehler


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo allerseits,

 

mein Testnetzwerk besteht aus:

 

1x 2k8-Server

2x XP SP2-Clients

 

(um nur die wichtigen zu nennen ;))

 

Ich habe auf dem 2k8-Server folgendes aufgesetzt:

 

- ADDS

- DHCP

- DNS

- IIS

- WSUS

- NPS

 

Nun habe ich eine Zertifizierungsstelle installiert und bekomme einen Fehler

angezeigt, wenn ich beim Servermanager auf die Unternehmens-PKI zugreife.

 

Die angezeigte Fehlermeldung besagt "Download nicht möglich". Dies ist aber

nur bei den http-Zugriffen so - nicht bei den ldap-Zugriffen. [Anzeige bei:

AIA-Speicherort #2, DeltaCRL-Speicherort #2, Speicherort für Sperrlisten-

Verteilungspunkte #2; alles mit der #1 am Ende ist ein ldap-Zugriff]

 

Jemand eine Idee? :)

 

Mit bestem Dank im voraus,

 

 

blurrrr

Link zu diesem Kommentar

Hallo,

 

man sollte davon ausgehen, daß bei der recht eindeutigen Fehlermeldung die CDPs / AIA nicht per HTTP erreichbar sind oder? ;)

 

Soll heißen, wahrscheinlich stimmen die Pfade dahin nicht bzw. der IIS / WebServer hat Probleme. Ggf. könntest Du also einmal prüfen, ob die Pfade denn manuell erreichbar sind (das wird nicht der Fall sein) und dementsprechend auf dem IIS überprüfen, ob die Dateien dort vorhanden sind bzw. das entsprechende Verzeichnis veröffentlicht.

 

Ansonsten kann es auch sein, daß die falschen Pfade bei der CA Einrichtung angegeben wurden, das sollte dann schnell auf der CA geändert werden. Für bestehende Zertifikate läßt sich das jedoch nicht mehr anpassen.

 

Viele Grüße

olc

Link zu diesem Kommentar

Guten Morgen :)

 

"certutil" besagt, dass die angegebenen Dateien nicht gefunden werden können.

Die Dateien sind aber vorhanden. Womöglich ein Rechte-Problem?

Die Pfade stimmen meiner Meinung nach jedenfalls.

[http://server/CertEnroll/zertifikatsname]

 

Kann doch nicht sein, dass bei einer 0-8-15-Installation Berechtigungen

nicht gesetzt werden...

 

Welche Gruppen/Benutzer müssten denn Berechtigungen auf das Verzeichnis:

"C:\Windows\system32\CertSrv\CertEnroll\" haben? ("Ersteller-Besitzer", "System",

"Domäne\Administratoren", "Trusted Installer" und "Benutzer" haben Zugriff)

 

Im IIS-Manager/Authentifizierung

ist halt nur die Anonyme-Authentifizierung bei "CertEnroll" aktiviert.

 

------------------------------------------------------------------------------

EDIT:

 

Ah... okay - liegt wohl an der Pass-Through-Authentifizierung... der IIS-Manager

kann nicht überprüfen, ob das vordefinierte Konto Zugriff hat. Ich soll sicher stellen,

dass die Identität des Anwendungspools Zugriff hat. Die wäre dann NETWORKSERVICE.

 

Allerdings ist das Konto, was für die vordefinierte anonyme Anmeldung für /CertEnroll

automatisch auf IUSR gesetzt worden.

 

<2mins später...>

 

Hm... nachdem ich NETWORKSERVICE Lese-Berechtigung auf den physikalischen Pfad

gegeben habe... hat sich noch immer nichts getan - daran kanns also auch nicht wirklich

liegen *muffel*

 

So langsam gehen mir aber auch echt die Ideen'n aus... Hilfe? :D

bearbeitet von blurrrr
Link zu diesem Kommentar

Hi,

 

ist doch genau das, was ich oben geschrieben habe... ;)

 

Sind unter Umständen Gruppenrichtlinien auf dem CA-Server aktiv, die die Netzwerkschnittstellen "einschränken"? Kandidaten wie "Zugriff vom Netzwerk auf diesen Computer verweigern: [...] ANONYME ANMELDUNG [...]"?

 

Das kann beispielsweise beim IIS zu Problemen führen.

 

Viele Grüße

olc

Link zu diesem Kommentar

Hm... okay hat sich erledigt... man sollte auch schon drauf achten, welche

Authentifizierungsmöglichkeiten für den IIS installiert sind ... *grml* und dafür

hampel ich ewig mit den Rechten rum. Echt toll von ***... da wird einem

schon gesagt "Da brauchste aber den IIS" und dann wird noch nichtmals

alles "wirklich" notwendige installiert... frisch Installiert und BÄM!... Fehler.

Das ist wieder so typisch für Microsoft... :rolleyes:

 

Schönen Dank an dieser Stelle :)

Link zu diesem Kommentar

Hallo blurrrr,

 

ich habe schon mehr als einmal eine CA in Betrieb genommen - bisher hatte ich noch keine Probleme mit den Authentifizierungsmethoden nach einer standardmäßig durchgeführten Installation.

 

Bevor man also alles auf den Dienst schiebt, sollte man eventuell auch eigene Fehler in Betracht ziehen oder? ;)

 

Vielen Dank für Deine Rückmeldung und viele Grüße

olc

Link zu diesem Kommentar

Hi,

 

wenn ich mich recht erinnere, Funktioniert ja da etwas mit den Zertifikaten nicht, wenn man Sie als Vista Client anfordert....Da war doch was...

 

Und zumindest bei 2K3 musste man einen Enterprise Edition haben um ein CA betreiben zu können. Vielleicht verwendest du ja einen Standard 2008er?

 

Lasse mich aber auch gern updaten wenn unter 2008 alles auch schon mit dem Standard geht.

Link zu diesem Kommentar
  • 7 Monate später...

Guten Abend,

 

ich möchte mich kurz hier mit dran hängen, auch wenn der Thread schon ein paar Monate alt ist:

 

Ich lerne grad auf die 70-640 und kaue grad PKI durch. Habe ebenfalls mit den http-Fehlern zu kämpfen. Auch "Download nicht möglich". Hier gehts um die Stamm-Zertifizierungsstelle.

 

Habe jedoch absichtlich bei den "Sperrlisten-Verteilungspunkten" und "Zugriff auf "Stelleninformationen die Haken bei HTTP rausgenommen, d.h. diese Speicherorte sollten doch im Endeffekt nicht veröffentlich werden.

 

Werden sie aber doch und ich bekomme ebenfalls bei AIA-Speicherort #2 und Speicherort für Sperrlisten-Verteilungspunkte #2 den Fehler "Download nicht möglich"

 

Bei der Ausstellenden Certstelle wiederum klappt das wunderbar, nur die 3 LDAP Speicherorte tauchen auf (AIA-Speicherort, DeltaCRL und Speicherort für Verteilungspunkte).

 

Das Stammzertifizierungsstellen-Cert habe ich bereits erneuert.

 

 

Habt ihr einen Tipp??

 

Grüße und vielen Dank im Voraus

toasti

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...