Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Windows CA - gesperrte Zertifikate - Dauer bis Client das mitbekommt

Mitglied: emeriks

emeriks (Level 5) - Jetzt verbinden

11.07.2018, aktualisiert 15:07 Uhr, 354 Aufrufe, 7 Kommentare, 1 Danke

Hi,
wie der Titel schon aussagt: Es geht um gesperrte Zertifikate in eine Windows Umgebung mit Windows Zertifizierungsstelle

Setup
  • Windows Server 2008 R2 Enterprise Server mit Zertifizierungstelle
  • Zertifizierungstelle ist die einzige, also Root + ausstellende Stelle.
  • CA ist AD-integriert
  • Client mit Windows 10 Prof 1806

Zustand
  • Client hat (bisher) gültiges Zertifikat von Standardvorlage "Computer"
  • Dieses Zertifikat wurde an der CA gesperrt
  • die Sperrliste wurde neu veröffenlicht (im AD)
  • Client meldet das Zertifikat immer noch als gültig

Das Zertifikat
  • wurde in 11/17 erstellt und in den lokalen Zertifikatspeicher des Clients (Local Machine) gespeichert.
  • gilt bis 11/18 (Ablaufdatum)
  • wurde gestern Nachmittag manuell an der CA gesperrt

Die Sperrliste
  • wurde gestern nach dem Sperren des o.g. Zertikats an der CA neu veröffentlicht
  • das zugehörige AD-Objekt in der Configuration Partition wurde aktualisiert ("whenChanged" überprüft)
  • kann vom Client mit CERTUTIL als Datei heruntergeladen werden
  • enthält die Seriennummer des o.g. Zertifikats (heruntergeladene Datei mit Hex-Editor überprüft)

Wenn ich am Client die MMC "Zertifikate" öffne und in den Speicher des Computers schaue, dann wird dort das o.g. Zertifikat nach wie vor als gültig angezeigt. Ist das normal?
Der Client wurde schon mehrmals durchgestartet und auch "gpupdate /force" ausgeführt.
Die Sperrung des Zertifikats ist jetzt vor 22 h erfolgt.

Wie lange dauert es, bis ein Computer ein gesperrtes Zertifikat als solches erkennt?
Wo kann man sehen, mit welcher Sperrliste der Computer z.Z. arbeitet? (lokale Kopie im Cache?)

E.



Mitglied: lcer00
11.07.2018 um 14:52 Uhr
Hallo,

sind im Zertifikat auch die Informationen zur Sperrliste enthalten?

Grüße

lcer
Bitte warten ..
Mitglied: emeriks
11.07.2018, aktualisiert um 14:58 Uhr
Zitat von lcer00:
sind im Zertifikat auch die Informationen zur Sperrliste enthalten?
Ja. Da steht sowas drin (verfremdet)

01.
[1]Sperrlisten-Verteilungspunkt 
02.
     Name des Verteilungspunktes: 
03.
          Vollst. Name: 
04.
               URL=ldap:///CN=XXXXXXCA01,CN=XXXXXXCA01,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN,DC=TLD?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=JXXXXXXCA01,CN=XXXXXXCA01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=DOMAIN,DC=TLD?certificateRevocationList?base?objectClass=cRLDistributionPoint)
Edit:
Das ist auch das o.g. AD-Objekt, welches ich überprüft habe.
Bitte warten ..
Mitglied: colinardo
11.07.2018, aktualisiert um 15:42 Uhr
Siehe:
https://www.msxfaq.de/signcrypt/crl.htm#crl_cache_auf_dem_client
Wie lange dauert es, bis ein Computer ein gesperrtes Zertifikat als solches erkennt?
Bis er die CRL nach dem Datum das in der Sperrliste steht, aktualisiert.
Wo kann man sehen, mit welcher Sperrliste der Computer z.Z. arbeitet? (lokale Kopie im Cache?)
certutil -URLcache crl 
certutil -URLcache ocsp
Um einen User bei z.B. bei Abhanden kommen eines Gerätes zuverlässig auszusperren sollte man immer erst einmal das zugehörige Konto deaktivieren. Der Grund: Auch andere Server können noch veraltete Sperrlisten und Token-Caches nutzen und das Zertifikat weiterhin als gültig annehmen. Sperrlisten für solche Szenarien sollte man ebenfalls mit kurzen Intervallen und Ablaufdaten versehen.

Zusätzlich gilt es einen weiteren Cache zu beachten (TLS Handle Expiry Time) wenn man die Zertifikate im Zusammenhang mit dem NPS nutzt:
Manage Certificates Used with NPS


Grüße Uwe
Bitte warten ..
Mitglied: emeriks
11.07.2018 um 16:23 Uhr
Hallo Uwe,
erstmal: Danke.

Um einen User bei z.B. bei Abhanden kommen eines Gerätes zuverlässig auszusperren sollte man immer erst einmal das zugehörige Konto deaktivieren. Der Grund: Auch andere Server können noch veraltete Sperrlisten und Token-Caches nutzen und das Zertifikat weiterhin als gültig annehmen. Sperrlisten für solche Szenarien sollte man ebenfalls mit kurzen Intervallen und Ablaufdaten versehen.
Das ist klar.
Bei mir geht es erstmal nur um einen Test.
Wir wollen eine CA ablösen, von welcher noch Zertifikate im Umlauf sind, welche bis 2022 gelten. Wir haben zwar schon die Vorlagen von der CA entfernt, sodass diese keine neuen Zertifikate mehr verteilen kann, aber wir würden diese gerne komplett abschalten.
Ich dachte mir, wenn ich die ausgestellten Zertifikate sperre, dann würden die Clients das mitbekommen und sich bei Bedarf ein neues Zertifikat von der neuen Zertifizierungsstelle holen.

Ja, danke, das ist sehr gut zu wissen.
Wenn ich das betreffende Zertifikat exportiere und dann damit überprüfe, dann kommt für "Basissperrliste" und "Deltasperrliste" ein "Überprüft". Die dort genannte URL ist dann auch genau jene, welche ich oben schon gepostet habe.

certutil -URLcache crl
certutil -URLcache ocsp
Da liefert er mir nichts zur internen CA.
01.
C:\Windows\system32>certutil -URL http://test 
02.
CertUtil: -URL-Befehl wurde erfolgreich ausgeführt. 
03.
 
04.
C:\Windows\system32>certutil -URLcache crl 
05.
 
06.
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/pinrulesstl.cab 
07.
 
08.
WinHttp-Cacheeinträge: 1 
09.
 
10.
CertUtil: -URLCache-Befehl wurde erfolgreich ausgeführt. 
11.
 
12.
C:\Windows\system32>certutil -URLcache ocsp 
13.
http://ocsp.omniroot.com/baltimoreroot/MEUwQzBB..........7RVZ7LBduom%2FnYB45.....MIJHWMys%2BghUNoZ........BAcnonY%3D 
14.
 
15.
http://ocsp.digicert.com/MFEw.......0V27RVZ7LBduom%2FnYB4......IJHWMys%2BghUNo......SRETRSlgpHeuVI%3D 
16.
 
17.
http://ocsp.digicert.com/MFEwTzB..........gUABBTBL0V27RVZ7LBduom%2FnYB45.......Mys%2BghUNoZ7O......Tf7jUSfg%2BhWk%3D 
18.
 
19.
http://ocsp.int-x3.letsencrypt.org/MFMw.......ABBR%2B5mrncpqz%2FPiiIG.....brm0Tm3pkVl7%2FOo7K......Nll1QQ%3D%3D 
20.
 
21.
http://isrg.trustid.ocsp.identrust.com/MFEwTzBN........rb4UuQdf%2FEFWC.....C4Xspwg%3D 
22.
 
23.
WinHttp-Cacheeinträge: 5 
24.
 
25.
****  OFFLINE  **** 
26.
 
27.
CertUtil: -URLCache-Befehl wurde erfolgreich ausgeführt.
Bitte warten ..
Mitglied: emeriks
11.07.2018 um 16:43 Uhr
Update:

habe jetzt mit
01.
certutil -URL ldap:///CN=JXXXXXXCA01,CN=XXXXXXCA01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=DOMAIN,DC=TLD?certificateRevocationList?base?objectClass=cRLDistributionPoint
direkt die CRL angesprochen. Da meldet er mir für beide Listen "OK". Anschließend hat er mir diese auch bei
01.
certutil -URLcache crl 
angezeigt.

Es ändert aber nichts daran, das er sein eigenes Zertifikat nach wie vor als gültig anzeigt ...
Bitte warten ..
Mitglied: colinardo
LÖSUNG 11.07.2018, aktualisiert um 17:11 Uhr
Zitat von emeriks:
Es ändert aber nichts daran, das er sein eigenes Zertifikat nach wie vor als gültig anzeigt ...
Daran wird sich in der MMC auch nichts ändern da kannst du kloppen und hämmern wo du willst, denn sie ist dumm und checkt die Zertifikate selbst nicht gegen die CRLs .
Certutil.exe is the command-line tool to verify certificates and CRLs. To get reliable verification results, you must use certutil.exe because the Certificate MMC Snap-In does not verify the CRL of certificates. A certificate might be wrongly shown in the MMC snap-in as valid but once you verify it with certutil.exe you will see that the certificate is actually invalid.
Die CMD (certutil) hingegen sollte es zeigen nachdem der Cache geleert wurde.
certutil -f –urlfetch -verify [FilenameOfCertificate]
Bitte warten ..
Mitglied: emeriks
11.07.2018 um 17:25 Uhr
Danke Uwe, das war's!

01.
certutil -f -urlfetch -verify  d:\temp\test.cer
liefert

01.
........ 
02.
Das Zertifikat wurde gesperrt. 0x80092010 (-2146885616 CRYPT_E_REVOKED) 
03.
------------------------------------ 
04.
Das Zertifikat ist GESPERRT. 
05.
Untergeordnetes Zertifikat wurde gesperrt (Grund=4)
Bitte warten ..
Ähnliche Inhalte
Windows Server

Zertifikat sperren - Dauer bis zur Sperrung

gelöst Frage von RalphTWindows Server2 Kommentare

Moin, ich habe mir eine 2-stufige PKI Testumgebung mit einer offline ROTT-CA aufgebaut. Ein Rechner, der Mitglied der Testdomäne ...

Windows Server

IE11 zeigt Zertifikate irrtümlich als gesperrt an

gelöst Frage von emeriksWindows Server2 Kommentare

Hi, wir haben auf mehreren Terminalservern das Problem, dass der IE11 dort diverse Webseiten nicht mehr anzeigt, weil er ...

Verschlüsselung & Zertifikate

KRA Zertifikat auf dem Client nicht verfügbar

gelöst Frage von SnipesVerschlüsselung & Zertifikate1 Kommentar

Hallo @ All, ich habe ein Problem in meiner interenen Zertifikatsumgebung (zweistufiger Betrieb). Ich bin momentan dabei für die ...

Exchange Server

Entferntes Zertifikat wird vom Client verwendet

Frage von Tacker32Exchange Server6 Kommentare

Hallo, ich habe einen SBS 2011 und ein Zertifikat mit falschem Namen ausgestellt. Dieses habe ich im IIS unter ...

Neue Wissensbeiträge
Datenschutz

Die Datenkrake Google verlängert ihr Arme mal wieder ein wenig, automatische Anmeldung

Tipp von magicteddy vor 14 StundenDatenschutz2 Kommentare

Benutzer mit einem Google Account und gespeicherten Zugangsdaten werden von chrome 69 automatisch bei Google angemeldet, natürlich alles zum ...

Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 1 TagVerschlüsselung & Zertifikate3 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 3 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 3 TagenHyper-V1 Kommentar

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Heiß diskutierte Inhalte
Datenschutz
Gilt ein Ransomware-Befall als Datenpanne nach DSGVO?
Frage von MOS6581Datenschutz22 Kommentare

Moin Kollegen, wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne ...

Hardware
Sophos SG135 - Routing
gelöst Frage von Xaero1982Hardware22 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

E-Mail
Welche ist die beste E-Mail Groupware für die Zukunft?
Frage von ITCrowdSupporterE-Mail18 Kommentare

Guten Tag allerseits :) Ich möchte mich mit einer Frage heute mal an die Schwarmintelligenz wenden. Aktuell befasse ich ...

Netzwerke
Hilfe bei der Planung meines Heimnetzwerks
Frage von DHD082Netzwerke15 Kommentare

Hallo zusammen, wir bauen gerade ein Einfamilienhaus, welches ich mit einem Heimnetzwerk ausstatten möchte. Da ich zwar auch in ...