1
Basissperrliste veraltet Zertifizierungsproblem
Hallo zusammen,
folgende Konfiguration liegt vor:
2x Windows Server 2008 R2 Enterprise Server.
Auf Server1 ist der DC inkl. Zertifizierungsstelle.
Server2 ist Domainenmitglied und unterhält ein RD/TS Gateway bzw. per Routing&RAS den SSTP Zugang.
Die Sperrliste der CA auf Server1 ist per Netzwerkfreigabe im IIS das Servers2 eingebunden und dort aus dem Internet per http ohne Login erreichbar.
Server2 verwendet ein Zertifikate der CA das auf die vom Internet erreichbare URL ausgestellt ist und als Sperrlistenserver auch die extern erreichbare Adresse enthält.
Sowohl Zugriffe per RDP als auch SSTP werden mit der Fehlermeldung:
"Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war."
abgebrochen, obwohl die Sperrliste im Internet Explorer z.b. einwandfrei heruntergeladen werden kann.
Das Root Zertfikate der CA ist auf dem Client importiert.
Certutil gibt folgende Meldungen aus: (certutil -v -verify -urlfetch C:\Zertifikat.cer)
---------------- Zertifikat abrufen ----------------
Gescheitert "AIA" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
ldap:/CN=[....]
Überprüft "Zertifikat (0)" Zeit: 0
[1.0] http://EXTURL/CertEnroll/ROOTCER.crt
---------------- Zertifikat abrufen ----------------
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
ldap:/CN=[...]
Überprüft "Basissperrliste (01)" Zeit: 0
[1.0] http://EXTURL/CertEnroll/SPERRLISTECA.crl
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
[1.0.0] ldap:/CN=[...]
---------------- Basissperrliste veraltet ----------------
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
ldap:/CN=[....]
---------------- Zertifikat-OCSP ----------------
Keine URLs "Keine" Zeit: 0
--------------------------------
Man sieht, dass das Abrufen des Root Zertifikates per http funktioniert hat und auch das Abrufen der Sperrliste. Die Deltasperrliste wird allerdings gar nicht erst versucht per http abzurufen und scheitert sofort. Zusätzlich kann ich mit der Aussage "Basissperrliste veraltet" nichts anfangen !?
Woran scheitert nun die Verbindung ? Wieso wird die Deltasperrliste nicht versucht per http abzurufen ?
Vielen Dank für eure Hilfe im vorab.
Gruß,
Ludwig
folgende Konfiguration liegt vor:
2x Windows Server 2008 R2 Enterprise Server.
Auf Server1 ist der DC inkl. Zertifizierungsstelle.
Server2 ist Domainenmitglied und unterhält ein RD/TS Gateway bzw. per Routing&RAS den SSTP Zugang.
Die Sperrliste der CA auf Server1 ist per Netzwerkfreigabe im IIS das Servers2 eingebunden und dort aus dem Internet per http ohne Login erreichbar.
Server2 verwendet ein Zertifikate der CA das auf die vom Internet erreichbare URL ausgestellt ist und als Sperrlistenserver auch die extern erreichbare Adresse enthält.
Sowohl Zugriffe per RDP als auch SSTP werden mit der Fehlermeldung:
"Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war."
abgebrochen, obwohl die Sperrliste im Internet Explorer z.b. einwandfrei heruntergeladen werden kann.
Das Root Zertfikate der CA ist auf dem Client importiert.
Certutil gibt folgende Meldungen aus: (certutil -v -verify -urlfetch C:\Zertifikat.cer)
---------------- Zertifikat abrufen ----------------
Gescheitert "AIA" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
ldap:/CN=[....]
Überprüft "Zertifikat (0)" Zeit: 0
[1.0] http://EXTURL/CertEnroll/ROOTCER.crt
---------------- Zertifikat abrufen ----------------
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
ldap:/CN=[...]
Überprüft "Basissperrliste (01)" Zeit: 0
[1.0] http://EXTURL/CertEnroll/SPERRLISTECA.crl
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
[1.0.0] ldap:/CN=[...]
---------------- Basissperrliste veraltet ----------------
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
ldap:/CN=[....]
---------------- Zertifikat-OCSP ----------------
Keine URLs "Keine" Zeit: 0
--------------------------------
Man sieht, dass das Abrufen des Root Zertifikates per http funktioniert hat und auch das Abrufen der Sperrliste. Die Deltasperrliste wird allerdings gar nicht erst versucht per http abzurufen und scheitert sofort. Zusätzlich kann ich mit der Aussage "Basissperrliste veraltet" nichts anfangen !?
Woran scheitert nun die Verbindung ? Wieso wird die Deltasperrliste nicht versucht per http abzurufen ?
Vielen Dank für eure Hilfe im vorab.
Gruß,
Ludwig
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 171067
Url: https://administrator.de/contentid/171067
Printed on: April 23, 2024 at 06:04 o'clock
1 Comment
Obwohl sonst scheinbar keiner das Problem kennt gebe ich hier trotzdem die Lösung an:
Die Überprüfung des Sperrlistenservers ist nur dann erfolgreich, wenn das Zertifikat, die Sperrliste und die Deltasperrliste überprüft werden konnten.
Zertifikat und Sperrliste sind kein Problem. Jedoch der Dateiname der Deltasperrliste enthält von Haus aus ein "+" !!
Dieses "+" Zeichen führt zu einer doppelten Escape Sequenz auf dem IIS wenn darauf Zugegriffen werden soll. Um dies zu erlauben ist es nötig die "web.config" Datei im Verzeichnis "CertEnroll" wo die Sperrlisten veröffentlicht werden zu editieren.
Folgende Zeile muss hinzugefügt werden: <requestFiltering allowDoubleEscaping="true">
Nachzulesen hier: http://support.microsoft.com/kb/942076
Dann klappt auch der Abruf der Deltasperrliste und die Überprüfung ist erfolgreich.
Ich hoffe ich konnte jemanden damit helfen.
Gruß,
Ludwig
Die Überprüfung des Sperrlistenservers ist nur dann erfolgreich, wenn das Zertifikat, die Sperrliste und die Deltasperrliste überprüft werden konnten.
Zertifikat und Sperrliste sind kein Problem. Jedoch der Dateiname der Deltasperrliste enthält von Haus aus ein "+" !!
Dieses "+" Zeichen führt zu einer doppelten Escape Sequenz auf dem IIS wenn darauf Zugegriffen werden soll. Um dies zu erlauben ist es nötig die "web.config" Datei im Verzeichnis "CertEnroll" wo die Sperrlisten veröffentlicht werden zu editieren.
Folgende Zeile muss hinzugefügt werden: <requestFiltering allowDoubleEscaping="true">
Nachzulesen hier: http://support.microsoft.com/kb/942076
Dann klappt auch der Abruf der Deltasperrliste und die Überprüfung ist erfolgreich.
Ich hoffe ich konnte jemanden damit helfen.
Gruß,
Ludwig
