1
ADCS - "Sperrserver offline"-Fehler durch Archivierung des privaten Schlüssels?
Hallo,
nachdem meine zweistufige PKI nun so langsam läuft wie sie soll, bin ich erneut auf eine Merkwürdigkeit gestoßen.
Ich habe mithilfe einer angepassten duplizierten Vorlage des Key Recovery Agents einen KRA erzeugt und in den Eigenschaften der ausstellenden Zertifizierungsstelle eingetragen.
Daraufhin habe ich eine neue Benutzer-Vorlage dupliziert, bei der neben Gültigkeit, Kompatibilität und exportierbarer privater Schlüssel (das ist erforderlich) noch "Privaten Schlüssel für die Verschlüsselung archivieren" und bei Antragstellername "Informationen werden in der Anforderung angegeben" eingestellt ist.
Jetzt habe ich das Problem, dass die Anforderung von einem Benutzer auf Basis dieser Vorlage nur funktioniert, wenn der Haken bei "Privaten Schlüssel für die Verschlüsselung archivieren" nicht gesetzt ist. Ist der nicht relevant für den KRA um bei Verlust des privaten Schlüssels des Benutzers diesen wiederherstellen zu können?
Der Fehler in der Anforderung besagt: "Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war."
Wie gesagt funktioniert die Anforderung ohne die Einstellung. Der Sperrserver/die Sperrliste ist definitiv erreichbar und unter pkiview.msc steht auch alles auf OK. Ich verstehe auch den Zusammenhang zwischen der Sperrfunktion und der Verschlüsselung des privaten Schlüssels nicht. Im KRA-Zertifikat ist logischerweise auch der korrekte Sperrlisten-Verteilungspunkt (CDP) eingetragen, insofern erreichbar. Bei der KRA-Vorlage habe ich nur Gültigkeit, Kompatibilität und UPN als Antragstellername eingestellt.
Mir ist das ein Rätsel. Vielen Dank vorab für Hinweise und Lösungen.
nachdem meine zweistufige PKI nun so langsam läuft wie sie soll, bin ich erneut auf eine Merkwürdigkeit gestoßen.
Ich habe mithilfe einer angepassten duplizierten Vorlage des Key Recovery Agents einen KRA erzeugt und in den Eigenschaften der ausstellenden Zertifizierungsstelle eingetragen.
Daraufhin habe ich eine neue Benutzer-Vorlage dupliziert, bei der neben Gültigkeit, Kompatibilität und exportierbarer privater Schlüssel (das ist erforderlich) noch "Privaten Schlüssel für die Verschlüsselung archivieren" und bei Antragstellername "Informationen werden in der Anforderung angegeben" eingestellt ist.
Jetzt habe ich das Problem, dass die Anforderung von einem Benutzer auf Basis dieser Vorlage nur funktioniert, wenn der Haken bei "Privaten Schlüssel für die Verschlüsselung archivieren" nicht gesetzt ist. Ist der nicht relevant für den KRA um bei Verlust des privaten Schlüssels des Benutzers diesen wiederherstellen zu können?
Der Fehler in der Anforderung besagt: "Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war."
Wie gesagt funktioniert die Anforderung ohne die Einstellung. Der Sperrserver/die Sperrliste ist definitiv erreichbar und unter pkiview.msc steht auch alles auf OK. Ich verstehe auch den Zusammenhang zwischen der Sperrfunktion und der Verschlüsselung des privaten Schlüssels nicht. Im KRA-Zertifikat ist logischerweise auch der korrekte Sperrlisten-Verteilungspunkt (CDP) eingetragen, insofern erreichbar. Bei der KRA-Vorlage habe ich nur Gültigkeit, Kompatibilität und UPN als Antragstellername eingestellt.
Mir ist das ein Rätsel. Vielen Dank vorab für Hinweise und Lösungen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 285338
Url: https://administrator.de/contentid/285338
Printed on: April 24, 2024 at 19:04 o'clock
1 Comment
Problem gelöst. Ein simpler Neustart des Zertifikatsdienstes hat dafür gesorgt, dass sich die Zertifizierungsstelle wieder mit dem Sperrserver verbinden konnte und die angepasste Anforderung wurde erfolgreich durchgeführt. Ich habe keine Ahnung warum es aber ohne die Archivierung des privaten Schlüssels ging.
Persönlich hasse ich Neustarts wie sonst nichts, da ich einfach nicht verstehen kann/will warum man mit einem mehr oder weniger aktuellen (Windows-)Betriebssystem des 21. Jhd. immernoch einen Dienst oder gar den ganzen Rechner bei kleinsten Änderungen neustarten muss. Mit Win10 sollte dem ja abgeholfen werden, aber diverse Berichte behaupten das Gegenteil. Naja, ...
Manchmal sollte man nicht zu kompliziert denken und frei nach dem OSI-Schichtenmodell immer schön der Reihe nach gehen.
Persönlich hasse ich Neustarts wie sonst nichts, da ich einfach nicht verstehen kann/will warum man mit einem mehr oder weniger aktuellen (Windows-)Betriebssystem des 21. Jhd. immernoch einen Dienst oder gar den ganzen Rechner bei kleinsten Änderungen neustarten muss. Mit Win10 sollte dem ja abgeholfen werden, aber diverse Berichte behaupten das Gegenteil. Naja, ...
Manchmal sollte man nicht zu kompliziert denken und frei nach dem OSI-Schichtenmodell immer schön der Reihe nach gehen.
