Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Basissperrliste veraltet Zertifizierungsproblem

Frage Microsoft Windows Netzwerk

Mitglied: vip3234

vip3234 (Level 1) - Jetzt verbinden

08.08.2011 um 00:47 Uhr, 7854 Aufrufe, 1 Kommentar

Hallo zusammen,

folgende Konfiguration liegt vor:

2x Windows Server 2008 R2 Enterprise Server.

Auf Server1 ist der DC inkl. Zertifizierungsstelle.
Server2 ist Domainenmitglied und unterhält ein RD/TS Gateway bzw. per Routing&RAS den SSTP Zugang.

Die Sperrliste der CA auf Server1 ist per Netzwerkfreigabe im IIS das Servers2 eingebunden und dort aus dem Internet per http ohne Login erreichbar.
Server2 verwendet ein Zertifikate der CA das auf die vom Internet erreichbare URL ausgestellt ist und als Sperrlistenserver auch die extern erreichbare Adresse enthält.

Sowohl Zugriffe per RDP als auch SSTP werden mit der Fehlermeldung:
"Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war."
abgebrochen, obwohl die Sperrliste im Internet Explorer z.b. einwandfrei heruntergeladen werden kann.

Das Root Zertfikate der CA ist auf dem Client importiert.


Certutil gibt folgende Meldungen aus: (certutil -v -verify -urlfetch C:\Zertifikat.cer)

---------------- Zertifikat abrufen ----------------
Gescheitert "AIA" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
ldap:///CN=[....]

Überprüft "Zertifikat (0)" Zeit: 0
[1.0] http://EXTURL/CertEnroll/ROOTCER.crt

---------------- Zertifikat abrufen ----------------
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
ldap:///CN=[...]

Überprüft "Basissperrliste (01)" Zeit: 0
[1.0] http://EXTURL/CertEnroll/SPERRLISTECA.crl

Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
[1.0.0] ldap:///CN=[...]

---------------- Basissperrliste veraltet ----------------
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Die angegebene Netzwerkressource bzw. das angeg
ebene Gerät ist nicht mehr verfügbar. 0x80070037 (WIN32: 55)
ldap:///CN=[....]

---------------- Zertifikat-OCSP ----------------
Keine URLs "Keine" Zeit: 0
--------------------------------



Man sieht, dass das Abrufen des Root Zertifikates per http funktioniert hat und auch das Abrufen der Sperrliste. Die Deltasperrliste wird allerdings gar nicht erst versucht per http abzurufen und scheitert sofort. Zusätzlich kann ich mit der Aussage "Basissperrliste veraltet" nichts anfangen !?

Woran scheitert nun die Verbindung ? Wieso wird die Deltasperrliste nicht versucht per http abzurufen ?


Vielen Dank für eure Hilfe im vorab.

Gruß,
Ludwig
Mitglied: vip3234
10.08.2011 um 11:49 Uhr
Obwohl sonst scheinbar keiner das Problem kennt gebe ich hier trotzdem die Lösung an:

Die Überprüfung des Sperrlistenservers ist nur dann erfolgreich, wenn das Zertifikat, die Sperrliste und die Deltasperrliste überprüft werden konnten.

Zertifikat und Sperrliste sind kein Problem. Jedoch der Dateiname der Deltasperrliste enthält von Haus aus ein "+" !!
Dieses "+" Zeichen führt zu einer doppelten Escape Sequenz auf dem IIS wenn darauf Zugegriffen werden soll. Um dies zu erlauben ist es nötig die "web.config" Datei im Verzeichnis "CertEnroll" wo die Sperrlisten veröffentlicht werden zu editieren.

Folgende Zeile muss hinzugefügt werden: <requestFiltering allowDoubleEscaping="true">
Nachzulesen hier: http://support.microsoft.com/kb/942076


Dann klappt auch der Abruf der Deltasperrliste und die Überprüfung ist erfolgreich.


Ich hoffe ich konnte jemanden damit helfen.

Gruß,
Ludwig
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...