Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Basissperrliste veraltet Zertifizierungsproblem

Frage Microsoft Windows Netzwerk

Mitglied: vip3234

vip3234 (Level 1) - Jetzt verbinden

08.08.2011 um 00:47 Uhr, 8204 Aufrufe, 1 Kommentar

Hallo zusammen,

folgende Konfiguration liegt vor:

2x Windows Server 2008 R2 Enterprise Server.

Auf Server1 ist der DC inkl. Zertifizierungsstelle.
Server2 ist Domainenmitglied und unterhält ein RD/TS Gateway bzw. per Routing&RAS den SSTP Zugang.

Die Sperrliste der CA auf Server1 ist per Netzwerkfreigabe im IIS das Servers2 eingebunden und dort aus dem Internet per http ohne Login erreichbar.
Server2 verwendet ein Zertifikate der CA das auf die vom Internet erreichbare URL ausgestellt ist und als Sperrlistenserver auch die extern erreichbare Adresse enthält.

Sowohl Zugriffe per RDP als auch SSTP werden mit der Fehlermeldung:
"Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war."
abgebrochen, obwohl die Sperrliste im Internet Explorer z.b. einwandfrei heruntergeladen werden kann.

Das Root Zertfikate der CA ist auf dem Client importiert.


Certutil gibt folgende Meldungen aus: (certutil -v -verify -urlfetch C:\Zertifikat.cer)

---------------- Zertifikat abrufen ----------------
Gescheitert "AIA" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
ldap:///CN=[....]

Überprüft "Zertifikat (0)" Zeit: 0
[1.0] http://EXTURL/CertEnroll/ROOTCER.crt

---------------- Zertifikat abrufen ----------------
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
ldap:///CN=[...]

Überprüft "Basissperrliste (01)" Zeit: 0
[1.0] http://EXTURL/CertEnroll/SPERRLISTECA.crl

Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
[1.0.0] ldap:///CN=[...]

---------------- Basissperrliste veraltet ----------------
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
ldap:///CN=[....]

---------------- Zertifikat-OCSP ----------------
Keine URLs "Keine" Zeit: 0
--------------------------------



Man sieht, dass das Abrufen des Root Zertifikates per http funktioniert hat und auch das Abrufen der Sperrliste. Die Deltasperrliste wird allerdings gar nicht erst versucht per http abzurufen und scheitert sofort. Zusätzlich kann ich mit der Aussage "Basissperrliste veraltet" nichts anfangen !?

Woran scheitert nun die Verbindung ? Wieso wird die Deltasperrliste nicht versucht per http abzurufen ?


Vielen Dank für eure Hilfe im vorab.

Gruß,
Ludwig
Mitglied: vip3234
10.08.2011 um 11:49 Uhr
Obwohl sonst scheinbar keiner das Problem kennt gebe ich hier trotzdem die Lösung an:

Die Überprüfung des Sperrlistenservers ist nur dann erfolgreich, wenn das Zertifikat, die Sperrliste und die Deltasperrliste überprüft werden konnten.

Zertifikat und Sperrliste sind kein Problem. Jedoch der Dateiname der Deltasperrliste enthält von Haus aus ein "+" !!
Dieses "+" Zeichen führt zu einer doppelten Escape Sequenz auf dem IIS wenn darauf Zugegriffen werden soll. Um dies zu erlauben ist es nötig die "web.config" Datei im Verzeichnis "CertEnroll" wo die Sperrlisten veröffentlicht werden zu editieren.

Folgende Zeile muss hinzugefügt werden: <requestFiltering allowDoubleEscaping="true">
Nachzulesen hier: http://support.microsoft.com/kb/942076


Dann klappt auch der Abruf der Deltasperrliste und die Überprüfung ist erfolgreich.


Ich hoffe ich konnte jemanden damit helfen.

Gruß,
Ludwig
Bitte warten ..
Ähnliche Inhalte
Sicherheit
BSI warnt vor gefährdeten Cloud-Servern

Link von mic.we zum Thema Sicherheit ...

Sicherheit
Über 1000 deutsche Online-Shops infiziert und angezapft (4)

Link von ashnod zum Thema Sicherheit ...

Neue Wissensbeiträge
Humor (lol)

Taschenrechner in IOS kaputt!

(7)

Information von Lochkartenstanzer zum Thema Humor (lol) ...

Sicherheit

Kanadischer Geheimdienst veröffentlicht erstmals Sicherheitssoftware

(3)

Information von BassFishFox zum Thema Sicherheit ...

Virtualisierung

Docker Monitoring und Steuerung per "sen"

Tipp von Frank zum Thema Virtualisierung ...

Heiß diskutierte Inhalte
Windows 7
Abbruch bei Brennvorgang (26)

Frage von Simulant zum Thema Windows 7 ...

Router & Routing
Externe IP von innen erreichbar machen (17)

Frage von Windows10Gegner zum Thema Router & Routing ...

Firewall
WIndows 7 RDP Massen Angriff (17)

Frage von Motte990 zum Thema Firewall ...

Windows Server
Vhdx-Datei viel größer als Inhalt der Festplatte - wie schrumpfen? (15)

Frage von Winfried-HH zum Thema Windows Server ...