Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Windows CA - gesperrte Zertifikate - Dauer bis Client das mitbekommt

Mitglied: emeriks

emeriks (Level 4) - Jetzt verbinden

11.07.2018, aktualisiert 15:07 Uhr, 273 Aufrufe, 7 Kommentare

Hi,
wie der Titel schon aussagt: Es geht um gesperrte Zertifikate in eine Windows Umgebung mit Windows Zertifizierungsstelle

Setup
  • Windows Server 2008 R2 Enterprise Server mit Zertifizierungstelle
  • Zertifizierungstelle ist die einzige, also Root + ausstellende Stelle.
  • CA ist AD-integriert
  • Client mit Windows 10 Prof 1806

Zustand
  • Client hat (bisher) gültiges Zertifikat von Standardvorlage "Computer"
  • Dieses Zertifikat wurde an der CA gesperrt
  • die Sperrliste wurde neu veröffenlicht (im AD)
  • Client meldet das Zertifikat immer noch als gültig

Das Zertifikat
  • wurde in 11/17 erstellt und in den lokalen Zertifikatspeicher des Clients (Local Machine) gespeichert.
  • gilt bis 11/18 (Ablaufdatum)
  • wurde gestern Nachmittag manuell an der CA gesperrt

Die Sperrliste
  • wurde gestern nach dem Sperren des o.g. Zertikats an der CA neu veröffentlicht
  • das zugehörige AD-Objekt in der Configuration Partition wurde aktualisiert ("whenChanged" überprüft)
  • kann vom Client mit CERTUTIL als Datei heruntergeladen werden
  • enthält die Seriennummer des o.g. Zertifikats (heruntergeladene Datei mit Hex-Editor überprüft)

Wenn ich am Client die MMC "Zertifikate" öffne und in den Speicher des Computers schaue, dann wird dort das o.g. Zertifikat nach wie vor als gültig angezeigt. Ist das normal?
Der Client wurde schon mehrmals durchgestartet und auch "gpupdate /force" ausgeführt.
Die Sperrung des Zertifikats ist jetzt vor 22 h erfolgt.

Wie lange dauert es, bis ein Computer ein gesperrtes Zertifikat als solches erkennt?
Wo kann man sehen, mit welcher Sperrliste der Computer z.Z. arbeitet? (lokale Kopie im Cache?)

E.



Mitglied: lcer00
11.07.2018 um 14:52 Uhr
Hallo,

sind im Zertifikat auch die Informationen zur Sperrliste enthalten?

Grüße

lcer
Bitte warten ..
Mitglied: emeriks
11.07.2018, aktualisiert um 14:58 Uhr
Zitat von lcer00:
sind im Zertifikat auch die Informationen zur Sperrliste enthalten?
Ja. Da steht sowas drin (verfremdet)

01.
[1]Sperrlisten-Verteilungspunkt 
02.
     Name des Verteilungspunktes: 
03.
          Vollst. Name: 
04.
               URL=ldap:///CN=XXXXXXCA01,CN=XXXXXXCA01,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN,DC=TLD?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=JXXXXXXCA01,CN=XXXXXXCA01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=DOMAIN,DC=TLD?certificateRevocationList?base?objectClass=cRLDistributionPoint)
Edit:
Das ist auch das o.g. AD-Objekt, welches ich überprüft habe.
Bitte warten ..
Mitglied: colinardo
11.07.2018, aktualisiert um 15:42 Uhr
Siehe:
https://www.msxfaq.de/signcrypt/crl.htm#crl_cache_auf_dem_client
Wie lange dauert es, bis ein Computer ein gesperrtes Zertifikat als solches erkennt?
Bis er die CRL nach dem Datum das in der Sperrliste steht, aktualisiert.
Wo kann man sehen, mit welcher Sperrliste der Computer z.Z. arbeitet? (lokale Kopie im Cache?)
certutil -URLcache crl 
certutil -URLcache ocsp
Um einen User bei z.B. bei Abhanden kommen eines Gerätes zuverlässig auszusperren sollte man immer erst einmal das zugehörige Konto deaktivieren. Der Grund: Auch andere Server können noch veraltete Sperrlisten und Token-Caches nutzen und das Zertifikat weiterhin als gültig annehmen. Sperrlisten für solche Szenarien sollte man ebenfalls mit kurzen Intervallen und Ablaufdaten versehen.

Zusätzlich gilt es einen weiteren Cache zu beachten (TLS Handle Expiry Time) wenn man die Zertifikate im Zusammenhang mit dem NPS nutzt:
Manage Certificates Used with NPS


Grüße Uwe
Bitte warten ..
Mitglied: emeriks
11.07.2018 um 16:23 Uhr
Hallo Uwe,
erstmal: Danke.

Um einen User bei z.B. bei Abhanden kommen eines Gerätes zuverlässig auszusperren sollte man immer erst einmal das zugehörige Konto deaktivieren. Der Grund: Auch andere Server können noch veraltete Sperrlisten und Token-Caches nutzen und das Zertifikat weiterhin als gültig annehmen. Sperrlisten für solche Szenarien sollte man ebenfalls mit kurzen Intervallen und Ablaufdaten versehen.
Das ist klar.
Bei mir geht es erstmal nur um einen Test.
Wir wollen eine CA ablösen, von welcher noch Zertifikate im Umlauf sind, welche bis 2022 gelten. Wir haben zwar schon die Vorlagen von der CA entfernt, sodass diese keine neuen Zertifikate mehr verteilen kann, aber wir würden diese gerne komplett abschalten.
Ich dachte mir, wenn ich die ausgestellten Zertifikate sperre, dann würden die Clients das mitbekommen und sich bei Bedarf ein neues Zertifikat von der neuen Zertifizierungsstelle holen.

Ja, danke, das ist sehr gut zu wissen.
Wenn ich das betreffende Zertifikat exportiere und dann damit überprüfe, dann kommt für "Basissperrliste" und "Deltasperrliste" ein "Überprüft". Die dort genannte URL ist dann auch genau jene, welche ich oben schon gepostet habe.

certutil -URLcache crl
certutil -URLcache ocsp
Da liefert er mir nichts zur internen CA.
01.
C:\Windows\system32>certutil -URL http://test 
02.
CertUtil: -URL-Befehl wurde erfolgreich ausgeführt. 
03.
 
04.
C:\Windows\system32>certutil -URLcache crl 
05.
 
06.
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/pinrulesstl.cab 
07.
 
08.
WinHttp-Cacheeinträge: 1 
09.
 
10.
CertUtil: -URLCache-Befehl wurde erfolgreich ausgeführt. 
11.
 
12.
C:\Windows\system32>certutil -URLcache ocsp 
13.
http://ocsp.omniroot.com/baltimoreroot/MEUwQzBB..........7RVZ7LBduom%2FnYB45.....MIJHWMys%2BghUNoZ........BAcnonY%3D 
14.
 
15.
http://ocsp.digicert.com/MFEw.......0V27RVZ7LBduom%2FnYB4......IJHWMys%2BghUNo......SRETRSlgpHeuVI%3D 
16.
 
17.
http://ocsp.digicert.com/MFEwTzB..........gUABBTBL0V27RVZ7LBduom%2FnYB45.......Mys%2BghUNoZ7O......Tf7jUSfg%2BhWk%3D 
18.
 
19.
http://ocsp.int-x3.letsencrypt.org/MFMw.......ABBR%2B5mrncpqz%2FPiiIG.....brm0Tm3pkVl7%2FOo7K......Nll1QQ%3D%3D 
20.
 
21.
http://isrg.trustid.ocsp.identrust.com/MFEwTzBN........rb4UuQdf%2FEFWC.....C4Xspwg%3D 
22.
 
23.
WinHttp-Cacheeinträge: 5 
24.
 
25.
****  OFFLINE  **** 
26.
 
27.
CertUtil: -URLCache-Befehl wurde erfolgreich ausgeführt.
Bitte warten ..
Mitglied: emeriks
11.07.2018 um 16:43 Uhr
Update:

habe jetzt mit
01.
certutil -URL ldap:///CN=JXXXXXXCA01,CN=XXXXXXCA01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=DOMAIN,DC=TLD?certificateRevocationList?base?objectClass=cRLDistributionPoint
direkt die CRL angesprochen. Da meldet er mir für beide Listen "OK". Anschließend hat er mir diese auch bei
01.
certutil -URLcache crl 
angezeigt.

Es ändert aber nichts daran, das er sein eigenes Zertifikat nach wie vor als gültig anzeigt ...
Bitte warten ..
Mitglied: colinardo
LÖSUNG 11.07.2018, aktualisiert um 17:11 Uhr
Zitat von emeriks:
Es ändert aber nichts daran, das er sein eigenes Zertifikat nach wie vor als gültig anzeigt ...
Daran wird sich in der MMC auch nichts ändern da kannst du kloppen und hämmern wo du willst, denn sie ist dumm und checkt die Zertifikate selbst nicht gegen die CRLs .
Certutil.exe is the command-line tool to verify certificates and CRLs. To get reliable verification results, you must use certutil.exe because the Certificate MMC Snap-In does not verify the CRL of certificates. A certificate might be wrongly shown in the MMC snap-in as valid but once you verify it with certutil.exe you will see that the certificate is actually invalid.
Die CMD (certutil) hingegen sollte es zeigen nachdem der Cache geleert wurde.
certutil -f –urlfetch -verify [FilenameOfCertificate]
Bitte warten ..
Mitglied: emeriks
11.07.2018 um 17:25 Uhr
Danke Uwe, das war's!

01.
certutil -f -urlfetch -verify  d:\temp\test.cer
liefert

01.
........ 
02.
Das Zertifikat wurde gesperrt. 0x80092010 (-2146885616 CRYPT_E_REVOKED) 
03.
------------------------------------ 
04.
Das Zertifikat ist GESPERRT. 
05.
Untergeordnetes Zertifikat wurde gesperrt (Grund=4)
Bitte warten ..
Ähnliche Inhalte
Windows Server

Zertifikat sperren - Dauer bis zur Sperrung

gelöst Frage von RalphTWindows Server2 Kommentare

Moin, ich habe mir eine 2-stufige PKI Testumgebung mit einer offline ROTT-CA aufgebaut. Ein Rechner, der Mitglied der Testdomäne ...

Windows Server

IE11 zeigt Zertifikate irrtümlich als gesperrt an

gelöst Frage von emeriksWindows Server2 Kommentare

Hi, wir haben auf mehreren Terminalservern das Problem, dass der IE11 dort diverse Webseiten nicht mehr anzeigt, weil er ...

Verschlüsselung & Zertifikate

KRA Zertifikat auf dem Client nicht verfügbar

gelöst Frage von SnipesVerschlüsselung & Zertifikate1 Kommentar

Hallo @ All, ich habe ein Problem in meiner interenen Zertifikatsumgebung (zweistufiger Betrieb). Ich bin momentan dabei für die ...

Exchange Server

Entferntes Zertifikat wird vom Client verwendet

Frage von Tacker32Exchange Server6 Kommentare

Hallo, ich habe einen SBS 2011 und ein Zertifikat mit falschem Namen ausgestellt. Dieses habe ich im IIS unter ...

Neue Wissensbeiträge
Peripheriegeräte
Unterschrank für HP Drucker
Tipp von NixVerstehen vor 1 TagPeripheriegeräte1 Kommentar

Als kurzen Freitags-Tipp möchte ich gerne meinen neuen Drucker-Unterschrank Modell Amica KS 15423W vorstellen. Das Gerät eignet sich hervorragend ...

Windows 10
Windows 10 - Probleme mit Point-And-Print
Tipp von emeriks vor 2 TagenWindows 103 Kommentare

Hi, wir kämpfen z.Z. mit einigen Druckertreibern, welche unter Win10 beim Verbinden eines Druckers von Printserver mit dem Dialog ...

Windows 10

Windows 10 1803 - Ihr Roamingbenutzerprofil wurde nicht vollständig synchronisiert

Anleitung von Deepsys vor 2 TagenWindows 101 Kommentar

Bei allen Windows 10 1803 PCs traten Probleme mit den Servergespeicherten Profilen auf. Das Abmelden dauerte sehr lange und ...

Exchange Server
Exchange - Fehler mit 2018-07 Sicherheitsupdate
Tipp von ArnoNymous vor 4 TagenExchange Server7 Kommentare

Hallo, es gibt mal wieder Freude mit den MS-Updates. KB4338814 führt dazu, dass der Exchange keine Mails mehr zustellt. ...

Heiß diskutierte Inhalte
Humor (lol)
Freitagsfrage: Was tun, wenn der Admin der DAU ist?
gelöst Frage von VoiperHumor (lol)32 Kommentare

Moin Zusammen, Eine nicht ganz ernst gemeinte Frage an die Außendienstler unter uns. Zusammenfassung: Ein Inhouse Admin ruft bei ...

LAN, WAN, Wireless
HP Probook 470 G4 - abbrechende Downloads
Frage von joern1LAN, WAN, Wireless19 Kommentare

Folgendes Problem, für einen Tipp wäre ich dankbar: Bei WLAN-Verbindung zum Internet (nicht LAN) kommt es bei etwas größeren ...

Windows Netzwerk
LTE Modul - Kein Internet trotz Verbindung
Frage von killtecWindows Netzwerk19 Kommentare

Hallo, ich habe hier ein Dell 7390 2-in-1 mit W10 Pro wo ich nachträglich eine LTE-Karte (Original Dell DW5811e ...

Router & Routing
Routing Problem mit Kaskade FritzBox und pfsense zugeriff nur von der firewall auf die clients und 0.0.0.0
Frage von ukl1967Router & Routing17 Kommentare

Hallo, ich habe ein an sich triviales Problem elches ich allerdings nicht gelöst bekomme. NAS 10.5.10.53 Mein Netz baut ...