6
Zertifikatssperrliste erneuern
Hallo zusammen,
Ich habe eine Windows offline Zertifizierungsstelle bei der die CRL in zwei Tagen abläuft. Die CRL habe ich eigentlich erneuert, bin mir nun aber nicht sicher ob es dann auch klappt, da das Expiration Date immer noch auf 11.04.2018 lautet. Sollte das Datum sofort angepasst werden oder wird das erst nach Ablauf erneuert?
Beim Erneuer der CRL bin ich folgendermassen vorgegangen:
Auf dem Root-CA Server habe ich ein Publish ausgeführt.
Das CRL habe ich dann vom Verzeichnis C:\Windows\System32\certSrv\CertEnroll auf die Sub-CA in das Verzeichnis C:\Windows\System32\certSrv\CertEnroll kopiert.
Auf der Sub-CA habe ich ein CMD als Admin gestartet und folgenden Befehl ausgeführt: certutil -dspublish -f Private-Root-CA.crl
Dann habe ich noch den Service neu gestartet: net stop certsvc && net start certsvc
Kann mir jemand sagen wie ich feststellen kann ob ich alles richtig gemacht habe oder ob ich etwas falsch gemacht habe?
Vielen Dank und Gruss
Ich habe eine Windows offline Zertifizierungsstelle bei der die CRL in zwei Tagen abläuft. Die CRL habe ich eigentlich erneuert, bin mir nun aber nicht sicher ob es dann auch klappt, da das Expiration Date immer noch auf 11.04.2018 lautet. Sollte das Datum sofort angepasst werden oder wird das erst nach Ablauf erneuert?
Beim Erneuer der CRL bin ich folgendermassen vorgegangen:
Auf dem Root-CA Server habe ich ein Publish ausgeführt.
Das CRL habe ich dann vom Verzeichnis C:\Windows\System32\certSrv\CertEnroll auf die Sub-CA in das Verzeichnis C:\Windows\System32\certSrv\CertEnroll kopiert.
Auf der Sub-CA habe ich ein CMD als Admin gestartet und folgenden Befehl ausgeführt: certutil -dspublish -f Private-Root-CA.crl
Dann habe ich noch den Service neu gestartet: net stop certsvc && net start certsvc
Kann mir jemand sagen wie ich feststellen kann ob ich alles richtig gemacht habe oder ob ich etwas falsch gemacht habe?
Vielen Dank und Gruss
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 370668
Url: https://administrator.de/contentid/370668
Printed on: April 25, 2024 at 17:04 o'clock
6 Comments
Latest comment
Guten Abend,
Gruß,
Dani
Auf der Sub-CA habe ich ein CMD als Admin gestartet und folgenden Befehl ausgeführt: certutil -dspublish -f Private-Root-CA.crl
was möchtest du damit bewirken? Kann mir jemand sagen wie ich feststellen kann ob ich alles richtig gemacht habe oder ob ich etwas falsch gemacht habe?
Weder noch... wie können die Clients die Sperrlisten denn überhaupt erreichen - per LDAP, HTTP oder File? Denn nur das ist relevant, egal wie oft die Sperrliste auf verschiedene Server kopierst. Dies siehst du entweder in den Eigenschaften der jeweiligen PKI oder in einem Zertifikat, welches die jeweilige PKI ausgestellt hat (Sperrlistenendpunkt).Gruß,
Dani
Hallo Dani
Die aktuelle Sperrliste wird von den Clients erreicht, die CA funktioniert also zur Zeit und ist auch korrekt konfiguriert. Ich publiziere die Sperrliste nicht auf verschiedene Server, sondern lediglich auf einem Server, der Sub-CA. Da die Sperrliste eine Gültigkeitsdauer von 6 Monaten hat, muss ich diese erneuern. Mit dem Befehl "certutil -dspublish -f Private-Root-CA.crl" Publiziere ich sie auf der Sub-CA.
Gruss
Die aktuelle Sperrliste wird von den Clients erreicht, die CA funktioniert also zur Zeit und ist auch korrekt konfiguriert. Ich publiziere die Sperrliste nicht auf verschiedene Server, sondern lediglich auf einem Server, der Sub-CA. Da die Sperrliste eine Gültigkeitsdauer von 6 Monaten hat, muss ich diese erneuern. Mit dem Befehl "certutil -dspublish -f Private-Root-CA.crl" Publiziere ich sie auf der Sub-CA.
Gruss
Guten Abend garciam,
damit wär ein Teil meines Kommentars beantwortet. Die restlichen Fragen bitte auch noch beantworten.
Gruß,
Dani
damit wär ein Teil meines Kommentars beantwortet. Die restlichen Fragen bitte auch noch beantworten.
Gruß,
Dani
Mit dem Befehl "certutil -dspublish -f Private-Root-CA.crl" Publiziere ich sie auf der Sub-CA.
Hi,
Nein damit publizierst du sie im AD, hast du die Sperrliste im Filesystem vom CDP Pfad abgelegt ?
Mfg
Nein damit publizierst du sie im AD, hast du die Sperrliste im Filesystem vom CDP Pfad abgelegt ?
Mfg
Hallo 7Gizmo
Stimmt, ich publiziere sie schlussendlich im AD. Die Sperrliste lege ich unter C:\Windows\System32\CertSrv\CertEnroll ab.
Eigentlich möchte ich in einem ersten Schritt nur wissen, ob das Expiring Datum aktualisiert werden müsste, nachdem ich die neue Sperrliste publiziert habe. Ich habe die Sperrliste nach dem oben erwähnten Vorgehen bereits einmal aktualisiert und das hatte funktioniert. Ich bin mir aber eben nicht mehr sicher, ob das Datum sofort wechselt oder erst nach Ablauf, also am 11.04.18.
Vielen Dank.
Gruss
Stimmt, ich publiziere sie schlussendlich im AD. Die Sperrliste lege ich unter C:\Windows\System32\CertSrv\CertEnroll ab.
Eigentlich möchte ich in einem ersten Schritt nur wissen, ob das Expiring Datum aktualisiert werden müsste, nachdem ich die neue Sperrliste publiziert habe. Ich habe die Sperrliste nach dem oben erwähnten Vorgehen bereits einmal aktualisiert und das hatte funktioniert. Ich bin mir aber eben nicht mehr sicher, ob das Datum sofort wechselt oder erst nach Ablauf, also am 11.04.18.
Vielen Dank.
Gruss
Nach dem ich noch ein certutil -crl ausgeführt habe wurde das Expiration Date aktualisiert.
