Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage zu Sperrlisten-Verteilungspunkten CDP

Frage Microsoft Windows Netzwerk

Mitglied: cweste

cweste (Level 1) - Jetzt verbinden

08.03.2011, aktualisiert 09.03.2011, 6681 Aufrufe

Hey Leute,

setzt mich gerade mit PKI auseinander und bin auf ein Problem gestoßen bei dem ich eure Hilfe gebrauchen könnte

Ich bin dabei mich in die SSTP-VPN Materie einzuarbeiten

mein Aufbau gleicht in etwa diesem Beispiel

http://www.windowsecurity.com/articles/Configuring-Windows-Server-2008- ...

Ich habe jetzt die Testumgebung soweit am laufen das eine PPTP Einwahl ohne Probleme möglich ist.

Mein VPN Server hat ein gültiges Zertifikat (ssl binding passt auch )und wenn ich mir das Zertifikat anschaue dann steht unter CDP mein LDAP sowie mein HTTP Verteilungspunkt (in meinen Augen) richtig Eingetragen

Wenn ich jetzt versuche mich mit dem Client per sstp zu verbinden bekomme ich einen 80092013 Error ... welcher ja besagt das die Sperrlisteninfos nicht überprüft werden konnten.

Wenn ich aber im Browser die URL zur Sperrliste eingebe(natürlich auf dem Client) kann ich diese ganz normal runterladen!

Ich habe also anscheinend das selbe Problem wie der Herr hier

[EDIT] oops falscher Link jetzt passts

http://www.administrator.de/index.php?content=95054

leider gab es hier keine Lösung.

Ich habe bei mir mal das CAPI2-logging aktiviert und geschaut was passiert

Es sieht für mich so aus als ob der Client nur die LDAP URL abfragt welche er natürlich nicht erreichen kann ...

Dann habe ich mir noch mein VPN-Zertifikat mit certutil -url vpn.cer überprüft

Ergebnis ist das der HTTP-Verteilungspunkt erreichbar/verifiziert werden kann

daraufhin habe mich noch einen certutil-verify -urlfetch vpn.crt gemacht hier das Ergebnis
Issuer:
CN=weste-DC1-CA
DC=weste
DC=local
Subject:
CN=vpn.weste.local
Cert Serial Number: 613ed67c000000000005

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
ChainContext.dwRevocationFreshnessTime: 3 Hours, 22 Minutes, 14 Seconds

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
SimpleChain.dwRevocationFreshnessTime: 3 Hours, 22 Minutes, 14 Seconds

CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=1000040
Issuer: CN=weste-DC1-CA, DC=weste, DC=local
NotBefore: 3/8/2011 11:56 AM
NotAfter: 3/7/2013 11:56 AM
Subject: CN=vpn.weste.local
Serial: 613ed67c000000000005
Template: 1.3.6.1.4.1.311.21.8.1068151.16492657.5391272.1738261.12810003.0.13558909.8112603
1a 7c 3c c0 3b cc 96 8d b8 a1 6e 3e d6 8c 2e a3 e5 93 e4 11
Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
---------------- Certificate AIA ----------------
Failed "AIA" Time: 0
Error retrieving URL: The specified network resource or device is no longer available. 0x80070037 (WIN32: 55)
ldap:///CN=weste-DC1-CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=weste,DC=local?cACertificate?base?objectClass=certificationAuthority

Verified "Certificate (0)" Time: 0
[1.0] http://dc1.weste.local/CertEnroll/dc1.weste.local_weste-DC1-CA.crt

---------------- Certificate CDP ----------------
Failed "CDP" Time: 0
Error retrieving URL: The specified network resource or device is no longer available. 0x80070037 (WIN32: 55)
ldap:///CN=weste-DC1-CA,CN=dc1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=weste,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint

Verified "Base CRL (01)" Time: 0
[1.0] http://dc1.weste.local/CertEnroll/weste-DC1-CA.crl

Failed "CDP" Time: 0
Error retrieving URL: The specified network resource or device is no longer available. 0x80070037 (WIN32: 55)
[1.0.0] ldap:///CN=weste-DC1-CA,CN=dc1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=weste,DC=local?deltaRevocationList?base?objectClass=cRLDistributionPoint

---------------- Base CRL CDP ----------------
Failed "CDP" Time: 0
Error retrieving URL: The specified network resource or device is no longer available. 0x80070037 (WIN32: 55)
ldap:///CN=weste-DC1-CA,CN=dc1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=weste,DC=local?deltaRevocationList?base?objectClass=cRLDistributionPoint

---------------- Certificate OCSP ----------------
No URLs "None" Time: 0
--------------------------------
CRL 01:
Issuer: CN=weste-DC1-CA, DC=weste, DC=local
6e 66 3d 5b d2 ff 00 58 b5 d5 2e 1d 05 69 00 da 68 5d 7a 09
Application[0] = 1.3.6.1.5.5.7.3.1 Server Authentication

CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
Issuer: CN=weste-DC1-CA, DC=weste, DC=local
NotBefore: 3/8/2011 10:59 AM
NotAfter: 3/8/2016 11:09 AM
Subject: CN=weste-DC1-CA, DC=weste, DC=local
Serial: 0aeda3da00a87c994ffc31b925f90078
bb 4d ab 17 4f 03 53 69 4e e5 36 bc fd 17 49 17 01 72 4f 48
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
---------------- Certificate AIA ----------------
No URLs "None" Time: 0
---------------- Certificate CDP ----------------
No URLs "None" Time: 0
---------------- Certificate OCSP ----------------
No URLs "None" Time: 0
--------------------------------

Exclude leaf cert:
48 45 b4 bc 04 51 0d fa a9 c3 cf 12 f3 57 8e 47 9f 2a 59 b4
Full chain:
6b 7c d0 3a aa 24 51 aa 86 6f f1 53 42 b9 9d 24 08 f3 cf ca
Issuer: CN=weste-DC1-CA, DC=weste, DC=local
NotBefore: 3/8/2011 11:56 AM
NotAfter: 3/7/2013 11:56 AM
Subject: CN=vpn.weste.local
Serial: 613ed67c000000000005
Template: 1.3.6.1.4.1.311.21.8.1068151.16492657.5391272.1738261.12810003.0.13558909.8112603
1a 7c 3c c0 3b cc 96 8d b8 a1 6e 3e d6 8c 2e a3 e5 93 e4 11
The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613)
Revocation check skipped -- server offline

ERROR: Verifying leaf certificate revocation status returned The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613)
CertUtil: The revocation function was unable to check revocation because the revocation server was offline.

CertUtil: -verify command completed successfully.


Leider bin ich jetzt mit meinem Latein am Ende habt Ihr eine Idee wo hier der Fehler liegt?

Vielen Dank schonmal für die Hilfe

Christoph

Hier noch mal das CAP2 errorLog

http://rapidshare.com/files/451590170/sstp_vpn.zip

Und noch ein paar Screens

503ca75ad75559ab98eb97f3002bca9b - Klicke auf das Bild, um es zu vergrößern
8208f6ea1f7c3efecbd7ff8e89cac8a8 - Klicke auf das Bild, um es zu vergrößern
98e37746e465b4b09432742c323cd144 - Klicke auf das Bild, um es zu vergrößern
ed7e2bfddca5acbded677c174a3fba5d - Klicke auf das Bild, um es zu vergrößern
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst HP Switches - Frage zu Spanning Tree bzw. Loop Back Protection (12)

Frage von chfran zum Thema LAN, WAN, Wireless ...

Hyper-V
Grundsatz Frage Anbindung Hyper V Hosts ans Netzwerk (7)

Frage von Eifeladmin zum Thema Hyper-V ...

Windows Netzwerk
gelöst Frage zu den Netzwerkfreigaben mit Bild (8)

Frage von M.Marz zum Thema Windows Netzwerk ...

Router & Routing
gelöst PfSense, Routing-Frage (10)

Frage von mrserious73 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (10)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...