Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Problem Enterprise PKI

Frage Microsoft Windows Server

Mitglied: Texas3110

Texas3110 (Level 1) - Jetzt verbinden

26.01.2014, aktualisiert 27.01.2014, 1498 Aufrufe, 5 Kommentare

Hallo,
Ich versuchte heute eine Enterprise PKI in einer Lab Umgebung aufzubauen. Aber ich bekam immer den folgenden Fehler:

Can not verify certification chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation because the revocation server was offline.

Meine Lab Umgebung besteht aus 3 Server. Einem DC einer Subordinate CA (Domain Member Server) und einer Root CA (kein Domain Member).
Nach dieser Anleitung http://mizitechinfo.wordpress.com/2013/08/31/step-by-step-deploying-an- ... ging ich vor.
Könnt Ihr mir helfen um das Problem zu beheben?


Danke für Eure Hilfe.

Viele Grüße
Stefan
Mitglied: AndiEoh
LÖSUNG 27.01.2014, aktualisiert um 11:42 Uhr
Hallo,

die Fehlermeldung ist doch recht eindeutig:

The revocation function was unable to check revocation because the revocation server was offline

Windows PKI überprüft für die gesamte Kette die CRL Informationen unter dern URLs die in den Zertifikaten angegeben sind. Das klappt bei dir mit mindestens einem Zertifikat nicht, d.h. entweder die eingetragene URI ist falsch oder du hast vergessen die CRL zu den passenden Plätzen zu verteilen. Lösungen gibt es z.B. hier:

http://social.technet.microsoft.com/Forums/windowsserver/en-US/348a9b8d ...

Gruß

Andi
Bitte warten ..
Mitglied: Texas3110
27.01.2014, aktualisiert um 11:07 Uhr
Hallo Andi,

Danke für Deine Antwort.
An so etwas habe ich schon gedacht. Nur verstehe ich noch nicht das warum.
Kannst Du mir bitte da noch etwas auf die Sprünge helfen? In den Anleitungen fand ich immer wieder das die Root CA keinen IIS Server am laufen hat. Aber wird er nicht benötigt um die URL zu testen? https://mizitechinfo.wordpress.com/2013/08/29/step-by-step-deploying-a-s ...


Lg
Stefan
Bitte warten ..
Mitglied: AndiEoh
27.01.2014 um 12:34 Uhr
Hallo,

das hängt davon ab welche URL in den Zertifikaten der Kette eingetragen ist. Es kann sich dabei auch um einen ganz anderen und nicht den Root CA Server handeln, dieser muß lediglich eine aktuelle signierte CRL vorhalten oder per OCSP eine gültige Antwort liefern (http://de.wikipedia.org/wiki/Zertifikatsperrliste, http://de.wikipedia.org/wiki/Online_Certificate_Status_Protocol). Alternativ dazu kann man den Check auf zurück gezogene Zertifikate deaktivieren, ist aber dann eher Pfusch*Pfusch.

Gruß

Andi
Bitte warten ..
Mitglied: Texas3110
27.01.2014 um 13:29 Uhr
Hallo Andi,

ich nutze diese beiden URLs

http://svr02rootca/CertData/<CaName><CRLNameSuffix><Delt ...
http://svr02rootca/CertData/<ServerDNSName>_<CertificateName&g ...

svr02rootca Root CA
svr01dc.domain.loc Domain DC
svr03subCA.domain.loc Sub CA

Root CA ist kein Domainmitglied. Die Erstellung der URLs sind in der Anleitung https://mizitechinfo.wordpress.com/2013/08/29/step-by-step-deploying-a-s ... ab Punkt 25 beschrieben.

Kannst Du bitte mal in die Anleitung schauen und wo Du denkst ist der Fehler. Danke

Viele Grüße
STefan
Bitte warten ..
Mitglied: AndiEoh
27.01.2014 um 16:56 Uhr
Hallo,

ich hab zur Zeit keine Windows PKI hier und die Anleitung ist im Punkt CRL verteilen nicht sehr detailiert.

Hier werden die Hintergründe zu CDP/CRL etwas genauer ausgeführt, ist allerdings in englisch:
http://blogs.technet.com/b/nexthop/archive/2012/12/17/creating-a-certif ...

Gruß

Andi
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst PKI - Automatisierung Ausstellung von Zertifikaten (13)

Frage von makaroni zum Thema Windows Server ...

Windows Server
gelöst PKI von aktuellem AD-DC trennen (4)

Frage von theese zum Thema Windows Server ...

Verschlüsselung & Zertifikate
gelöst Revocation Server innerhalb der PKI wird als offline angezeigt (1)

Frage von Snipes zum Thema Verschlüsselung & Zertifikate ...

Windows 7
Windows 7 Enterprise - Default Desktop (4)

Frage von CufusedByte zum Thema Windows 7 ...

Neue Wissensbeiträge
Windows Update

Novemberpatches und Nadeldrucker bereiten Kopfschmerzen

(14)

Tipp von MettGurke zum Thema Windows Update ...

Windows 10

Abhilfe für Abstürze von CDPUsersvc auf Win10 1607 und 2016 1607

(7)

Tipp von DerWoWusste zum Thema Windows 10 ...

RedHat, CentOS, Fedora

Fedora 27 ist verfügbar

Information von Frank zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
Server
Bilder aus dem Web mit CSV runterladen (30)

Frage von Yannosch zum Thema Server ...

Server-Hardware
Bestehendes Raid erweitern um 4 gleiche Platten! (Verständnis Fragen) (12)

Frage von Hendrik2586 zum Thema Server-Hardware ...

Windows Update
WSUS 4 (Server 2012 R2) - Windows 10 Updates nicht möglich (12)

Frage von c0d3.r3d zum Thema Windows Update ...