Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Basissperrliste veraltet Zertifizierungsproblem

Mitglied: vip3234

vip3234 (Level 1) - Jetzt verbinden

08.08.2011 um 00:47 Uhr, 8459 Aufrufe, 1 Kommentar

Hallo zusammen,

folgende Konfiguration liegt vor:

2x Windows Server 2008 R2 Enterprise Server.

Auf Server1 ist der DC inkl. Zertifizierungsstelle.
Server2 ist Domainenmitglied und unterhält ein RD/TS Gateway bzw. per Routing&RAS den SSTP Zugang.

Die Sperrliste der CA auf Server1 ist per Netzwerkfreigabe im IIS das Servers2 eingebunden und dort aus dem Internet per http ohne Login erreichbar.
Server2 verwendet ein Zertifikate der CA das auf die vom Internet erreichbare URL ausgestellt ist und als Sperrlistenserver auch die extern erreichbare Adresse enthält.

Sowohl Zugriffe per RDP als auch SSTP werden mit der Fehlermeldung:
"Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war."
abgebrochen, obwohl die Sperrliste im Internet Explorer z.b. einwandfrei heruntergeladen werden kann.

Das Root Zertfikate der CA ist auf dem Client importiert.


Certutil gibt folgende Meldungen aus: (certutil -v -verify -urlfetch C:\Zertifikat.cer)

---------------- Zertifikat abrufen ----------------
Gescheitert "AIA" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
ldap:///CN=[....]

Überprüft "Zertifikat (0)" Zeit: 0
[1.0] http://EXTURL/CertEnroll/ROOTCER.crt

---------------- Zertifikat abrufen ----------------
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
ldap:///CN=[...]

Überprüft "Basissperrliste (01)" Zeit: 0
[1.0] http://EXTURL/CertEnroll/SPERRLISTECA.crl

Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
[1.0.0] ldap:///CN=[...]

---------------- Basissperrliste veraltet ----------------
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
ldap:///CN=[....]

---------------- Zertifikat-OCSP ----------------
Keine URLs "Keine" Zeit: 0
--------------------------------



Man sieht, dass das Abrufen des Root Zertifikates per http funktioniert hat und auch das Abrufen der Sperrliste. Die Deltasperrliste wird allerdings gar nicht erst versucht per http abzurufen und scheitert sofort. Zusätzlich kann ich mit der Aussage "Basissperrliste veraltet" nichts anfangen !?

Woran scheitert nun die Verbindung ? Wieso wird die Deltasperrliste nicht versucht per http abzurufen ?


Vielen Dank für eure Hilfe im vorab.

Gruß,
Ludwig
Mitglied: vip3234
10.08.2011 um 11:49 Uhr
Obwohl sonst scheinbar keiner das Problem kennt gebe ich hier trotzdem die Lösung an:

Die Überprüfung des Sperrlistenservers ist nur dann erfolgreich, wenn das Zertifikat, die Sperrliste und die Deltasperrliste überprüft werden konnten.

Zertifikat und Sperrliste sind kein Problem. Jedoch der Dateiname der Deltasperrliste enthält von Haus aus ein "+" !!
Dieses "+" Zeichen führt zu einer doppelten Escape Sequenz auf dem IIS wenn darauf Zugegriffen werden soll. Um dies zu erlauben ist es nötig die "web.config" Datei im Verzeichnis "CertEnroll" wo die Sperrlisten veröffentlicht werden zu editieren.

Folgende Zeile muss hinzugefügt werden: <requestFiltering allowDoubleEscaping="true">
Nachzulesen hier: http://support.microsoft.com/kb/942076


Dann klappt auch der Abruf der Deltasperrliste und die Überprüfung ist erfolgreich.


Ich hoffe ich konnte jemanden damit helfen.

Gruß,
Ludwig
Bitte warten ..
Ähnliche Inhalte
Backup
Vernichtung von veralteten Tapes
gelöst Frage von J.SwitlinskiBackup8 Kommentare

Hallo zusammen, bei unserer Sicherung auf Tape sind einige Bänder veraltet und werden zukünftig nicht mehr verwendet. Die Bänder ...

LAN, WAN, Wireless
Veraltete Router Firmware
Frage von Chaser21aLAN, WAN, Wireless8 Kommentare

Hallo Community, Ich habe einen D-link Router welchen ich bereits seit langer Zeit nutze. Das Problem ist, das das ...

Webbrowser

Fehlermeldung "Sie benutzen eine veraltete Version des Browser" Trotz IE11

gelöst Frage von franksigWebbrowser6 Kommentare

Hallo zusammen. ich stehe grad ein bisschen auf dem Schlauch Ich haben hier einen Terminal Server 2008 Ein Benutzer ...

Windows Server

Windows 2012 r2 Datenträger als veraltet makiert. Wie mache ich das rückgängig?

gelöst Frage von MC2Windows Server4 Kommentare

Hallo. Ich wollte eigentlich einen Datenträger gegen einen größeren tauschen und habe mit Set-PhysicalDisk -FriendlyName "<Name der zu entfernenden ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 3 StundenVerschlüsselung & Zertifikate

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 2 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 2 TagenHyper-V

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Sicherheits-Tools

Trend Micro WorryFree Business Security (WFBS) 10 - neuer Patch 1470 verfügbar

Tipp von VGem-e vor 2 TagenSicherheits-Tools1 Kommentar

Servus, mal sehen, ob mit Patch 1470, zu finden unter dann die angeblich fehlerhafte Funktion, die unter W10 im ...

Heiß diskutierte Inhalte
Tipps & Tricks
Nagstamon und PRTG Monitoring
Frage von Der.ITlerTipps & Tricks13 Kommentare

Hallo Ihr, heute am Sonntag bin ich mal früh aufgestanden um mich mit dem Problem von Gestern zu beschäftigen. ...

Datenschutz
Gilt ein Ransomware-Befall als Datenpanne nach DSGVO?
Frage von MOS6581Datenschutz12 Kommentare

Moin Kollegen, wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne ...

Hardware
Sophos SG135 - Routing
Frage von Xaero1982Hardware12 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

Batch & Shell
Bestimmte Textpassagen via bat löschen
gelöst Frage von Grisu84Batch & Shell10 Kommentare

Hallo, ich habe eine txt-Datei, in welcher ich durch eine bat bestimmte Zeilen löschen möchte. So soll die Datei ...