Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Problem Enterprise PKI

Frage Microsoft Windows Server

Mitglied: Texas3110

Texas3110 (Level 1) - Jetzt verbinden

26.01.2014, aktualisiert 27.01.2014, 1504 Aufrufe, 5 Kommentare

Hallo,
Ich versuchte heute eine Enterprise PKI in einer Lab Umgebung aufzubauen. Aber ich bekam immer den folgenden Fehler:

Can not verify certification chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation because the revocation server was offline.

Meine Lab Umgebung besteht aus 3 Server. Einem DC einer Subordinate CA (Domain Member Server) und einer Root CA (kein Domain Member).
Nach dieser Anleitung http://mizitechinfo.wordpress.com/2013/08/31/step-by-step-deploying-an- ... ging ich vor.
Könnt Ihr mir helfen um das Problem zu beheben?


Danke für Eure Hilfe.

Viele Grüße
Stefan
Mitglied: AndiEoh
LÖSUNG 27.01.2014, aktualisiert um 11:42 Uhr
Hallo,

die Fehlermeldung ist doch recht eindeutig:

The revocation function was unable to check revocation because the revocation server was offline

Windows PKI überprüft für die gesamte Kette die CRL Informationen unter dern URLs die in den Zertifikaten angegeben sind. Das klappt bei dir mit mindestens einem Zertifikat nicht, d.h. entweder die eingetragene URI ist falsch oder du hast vergessen die CRL zu den passenden Plätzen zu verteilen. Lösungen gibt es z.B. hier:

http://social.technet.microsoft.com/Forums/windowsserver/en-US/348a9b8d ...

Gruß

Andi
Bitte warten ..
Mitglied: Texas3110
27.01.2014, aktualisiert um 11:07 Uhr
Hallo Andi,

Danke für Deine Antwort.
An so etwas habe ich schon gedacht. Nur verstehe ich noch nicht das warum.
Kannst Du mir bitte da noch etwas auf die Sprünge helfen? In den Anleitungen fand ich immer wieder das die Root CA keinen IIS Server am laufen hat. Aber wird er nicht benötigt um die URL zu testen? https://mizitechinfo.wordpress.com/2013/08/29/step-by-step-deploying-a-s ...


Lg
Stefan
Bitte warten ..
Mitglied: AndiEoh
27.01.2014 um 12:34 Uhr
Hallo,

das hängt davon ab welche URL in den Zertifikaten der Kette eingetragen ist. Es kann sich dabei auch um einen ganz anderen und nicht den Root CA Server handeln, dieser muß lediglich eine aktuelle signierte CRL vorhalten oder per OCSP eine gültige Antwort liefern (http://de.wikipedia.org/wiki/Zertifikatsperrliste, http://de.wikipedia.org/wiki/Online_Certificate_Status_Protocol). Alternativ dazu kann man den Check auf zurück gezogene Zertifikate deaktivieren, ist aber dann eher Pfusch*Pfusch.

Gruß

Andi
Bitte warten ..
Mitglied: Texas3110
27.01.2014 um 13:29 Uhr
Hallo Andi,

ich nutze diese beiden URLs

http://svr02rootca/CertData/<CaName><CRLNameSuffix><Delt ...
http://svr02rootca/CertData/<ServerDNSName>_<CertificateName&g ...

svr02rootca Root CA
svr01dc.domain.loc Domain DC
svr03subCA.domain.loc Sub CA

Root CA ist kein Domainmitglied. Die Erstellung der URLs sind in der Anleitung https://mizitechinfo.wordpress.com/2013/08/29/step-by-step-deploying-a-s ... ab Punkt 25 beschrieben.

Kannst Du bitte mal in die Anleitung schauen und wo Du denkst ist der Fehler. Danke

Viele Grüße
STefan
Bitte warten ..
Mitglied: AndiEoh
27.01.2014 um 16:56 Uhr
Hallo,

ich hab zur Zeit keine Windows PKI hier und die Anleitung ist im Punkt CRL verteilen nicht sehr detailiert.

Hier werden die Hintergründe zu CDP/CRL etwas genauer ausgeführt, ist allerdings in englisch:
http://blogs.technet.com/b/nexthop/archive/2012/12/17/creating-a-certif ...

Gruß

Andi
Bitte warten ..
Ähnliche Inhalte
Hyper-V
Kein Zugriff auf die PKI
gelöst Frage von OberhausenerHyper-V6 Kommentare

Hallo und guten Morgen, ich bin neu hier und möchte mich "superkurz" vorstellen. Ich war über 30 Jahre in ...

Verschlüsselung & Zertifikate
Keepass mit PKI und NFC
Frage von trallerVerschlüsselung & Zertifikate11 Kommentare

Hallo, welche Möglichkeiten / Produkte gibt es für eine Zwei-Faktor-Authentifizieurng mit KeyPass und PKI / NFC Karte? Also ich ...

Windows Server
PKI - Automatisierung Ausstellung von Zertifikaten
gelöst Frage von makaroniWindows Server13 Kommentare

Hallo zusammen, wir betreiben eine PKI und benötigen für viele Linux Maschinen Zertifikate. Somit müssten manuell (OpenSSL, CertSRV, ) ...

Verschlüsselung & Zertifikate
Zertifikatsbenachrichtigung PKI Windows Server 2012R2
gelöst Frage von SnipesVerschlüsselung & Zertifikate9 Kommentare

Hallo Zusammen, wir wollen hier eine interne PKI einrichten. Das Ganze soll auf einem Windows Server 2012R2 in zweistufiger ...

Neue Wissensbeiträge
Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 6 StundenMac OS X1 Kommentar

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 13 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 14 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 17 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1018 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...