Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Basissperrliste veraltet Zertifizierungsproblem

Mitglied: vip3234

vip3234 (Level 1) - Jetzt verbinden

08.08.2011 um 00:47 Uhr, 8274 Aufrufe, 1 Kommentar

Hallo zusammen,

folgende Konfiguration liegt vor:

2x Windows Server 2008 R2 Enterprise Server.

Auf Server1 ist der DC inkl. Zertifizierungsstelle.
Server2 ist Domainenmitglied und unterhält ein RD/TS Gateway bzw. per Routing&RAS den SSTP Zugang.

Die Sperrliste der CA auf Server1 ist per Netzwerkfreigabe im IIS das Servers2 eingebunden und dort aus dem Internet per http ohne Login erreichbar.
Server2 verwendet ein Zertifikate der CA das auf die vom Internet erreichbare URL ausgestellt ist und als Sperrlistenserver auch die extern erreichbare Adresse enthält.

Sowohl Zugriffe per RDP als auch SSTP werden mit der Fehlermeldung:
"Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war."
abgebrochen, obwohl die Sperrliste im Internet Explorer z.b. einwandfrei heruntergeladen werden kann.

Das Root Zertfikate der CA ist auf dem Client importiert.


Certutil gibt folgende Meldungen aus: (certutil -v -verify -urlfetch C:\Zertifikat.cer)

---------------- Zertifikat abrufen ----------------
Gescheitert "AIA" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
ldap:///CN=[....]

Überprüft "Zertifikat (0)" Zeit: 0
[1.0] http://EXTURL/CertEnroll/ROOTCER.crt

---------------- Zertifikat abrufen ----------------
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
ldap:///CN=[...]

Überprüft "Basissperrliste (01)" Zeit: 0
[1.0] http://EXTURL/CertEnroll/SPERRLISTECA.crl

Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
[1.0.0] ldap:///CN=[...]

---------------- Basissperrliste veraltet ----------------
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
ldap:///CN=[....]

---------------- Zertifikat-OCSP ----------------
Keine URLs "Keine" Zeit: 0
--------------------------------



Man sieht, dass das Abrufen des Root Zertifikates per http funktioniert hat und auch das Abrufen der Sperrliste. Die Deltasperrliste wird allerdings gar nicht erst versucht per http abzurufen und scheitert sofort. Zusätzlich kann ich mit der Aussage "Basissperrliste veraltet" nichts anfangen !?

Woran scheitert nun die Verbindung ? Wieso wird die Deltasperrliste nicht versucht per http abzurufen ?


Vielen Dank für eure Hilfe im vorab.

Gruß,
Ludwig
Mitglied: vip3234
10.08.2011 um 11:49 Uhr
Obwohl sonst scheinbar keiner das Problem kennt gebe ich hier trotzdem die Lösung an:

Die Überprüfung des Sperrlistenservers ist nur dann erfolgreich, wenn das Zertifikat, die Sperrliste und die Deltasperrliste überprüft werden konnten.

Zertifikat und Sperrliste sind kein Problem. Jedoch der Dateiname der Deltasperrliste enthält von Haus aus ein "+" !!
Dieses "+" Zeichen führt zu einer doppelten Escape Sequenz auf dem IIS wenn darauf Zugegriffen werden soll. Um dies zu erlauben ist es nötig die "web.config" Datei im Verzeichnis "CertEnroll" wo die Sperrlisten veröffentlicht werden zu editieren.

Folgende Zeile muss hinzugefügt werden: <requestFiltering allowDoubleEscaping="true">
Nachzulesen hier: http://support.microsoft.com/kb/942076


Dann klappt auch der Abruf der Deltasperrliste und die Überprüfung ist erfolgreich.


Ich hoffe ich konnte jemanden damit helfen.

Gruß,
Ludwig
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Veraltete Router Firmware
Frage von Chaser21aLAN, WAN, Wireless7 Kommentare

Hallo Community, Ich habe einen D-link Router welchen ich bereits seit langer Zeit nutze. Das Problem ist, das das ...

DNS
Veralteter DNS Eintrag....aber wo?
gelöst Frage von trolololDNS6 Kommentare

Hallo zusammen wir haben letzthin unsere website auf einen neuen provider migriert - soweit alles in Ordnung, funktioniert alles. ...

Webbrowser

Fehlermeldung "Sie benutzen eine veraltete Version des Browser" Trotz IE11

gelöst Frage von franksigWebbrowser6 Kommentare

Hallo zusammen. ich stehe grad ein bisschen auf dem Schlauch Ich haben hier einen Terminal Server 2008 Ein Benutzer ...

Windows Server

Windows 2012 r2 Datenträger als veraltet makiert. Wie mache ich das rückgängig?

gelöst Frage von MC2Windows Server4 Kommentare

Hallo. Ich wollte eigentlich einen Datenträger gegen einen größeren tauschen und habe mit Set-PhysicalDisk -FriendlyName "<Name der zu entfernenden ...

Neue Wissensbeiträge
Vmware
VMware Update für den ESXi 5.5 verfügbar
Information von sabines vor 6 StundenVmware

Nach dem ganzen Hickhack um Update mit Microcode Anpassungen und Rückzug, gibt es nun für den ESXi 5.5 ein ...

CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 10 StundenCPU, RAM, Mainboards5 Kommentare

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing
PfSense als Addon auf QNAP
Information von magicteddy vor 1 TagRouter & Routing7 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 1 TagDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement26 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Server
TEMP-Profile
gelöst Frage von Forseti2003Windows Server21 Kommentare

Guten Morgen, wer kennt sie nicht, die lieben Temporären Benutzerprofile, vorallem immer dann, wenn man sie am wenigsten braucht. ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör15 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...