Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zertifikatsserver, Sperrliste, UnavailabeConfigDN

Frage Microsoft Windows Server

Mitglied: Kaffeepause

Kaffeepause (Level 1) - Jetzt verbinden

20.12.2011, aktualisiert 16:29 Uhr, 6698 Aufrufe, 1 Kommentar

Ich setze eine neue Stammzertifizierungsstelle (Root CA) auf und kann deren Sperrliste nicht ins AD importieren (DC=UnavailableConfigDN).

Hallo,

ich versuche eine neue Zertifizierungsstruktur in einer neuen Domäne aufzubauen.

Die Stammzertifizierungsstelle (Root CA) wurde installiert (Server 2008 Datacenter Edition) und ist nicht Mitglied der Domäne.

Allerdings wird von der Stammzertifizierungsstelle keine korrekte Sperrliste erstellt, so dass ich wiederum diese Sperrliste nicht ins AD importieren und damit auch keine ausstellende Zertifizierungsstelle (Issuing CA) erstellen kann.

In der Sperrliste taucht in den Eigenschaften der Eintrag auf:
01.
[1]Standort 
02.
     Name des Verteilungspunktes: 
03.
          Vollst. Name: 
04.
               URL=ldap:///CN=Meine%20Firma,CN=Server01,CN=CDP,CN=Public%20Key%20Services,CN=Services,DC=UnavailableConfigDN?certificateRevocationList?base?objectClass=cRLDistributionPoint
Man sieht, dass hier ein Fehler vorliegt: DC=UnavailabeConfigDN
Die Variable scheint nicht korrekt hinterlegt zu sein, deshalb kann der LDAP-Pfad für die Ablage der Sperrliste nicht generiert und von anderen Zertifizierungsstellen abgefragt werden.

Bei der Installation der Stammzertifizierungsstelle (Root CA) habe ich allerdings ein PostinstallationsSkript ausgeführt, das diese Variable setzt.

Hier das Postinstallationskript

01.
::Declare Configuration NC 
02.
certutil -setreg CA\DSConfigDN "CN=Configuration,DC=firma,DC=intern" 
03.
certutil -setreg CA\DSDomainDN "DC=firma,DC=intern" 
04.
 
05.
certutil -setreg CA\CRLPeriodUnits 30 
06.
certutil -setreg CA\CRLPeriod "Weeks" 
07.
certutil -setreg CA\CRLDeltaPeriodUnits 0 
08.
certutil -setreg CA\CRLDeltaPeriod "Days" 
09.
 
10.
::CDP Pfade setzen 
11.
certutil -setreg CA\CRLPublicationURLs "65:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n79:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=Public Key Services,CN=Services,%%6%%10" 
12.
 
13.
::AIA Pfad setzen 
14.
certutil -setreg CA\CACertPublicationURLs "1:%windir%\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n3:ldap:///CN=%%7,CN=AIA,CN=Public Key Services,CN=Services,%%6%%11" 
15.
 
16.
::Auditing einschalten 
17.
certutil -setreg CA\AuditFilter 127 
18.
 
19.
::Laufzeit für erstellte Zertifikate 
20.
certutil -setreg CA\ValidityPeriodUnits 5 
21.
certutil -setreg CA\ValidityPeriod "Years" 
22.
 
23.
::Neustart Zertifikatsdienst 
24.
 
25.
net stop certsvc & net start certsvc
Hier wird sowohl die DSConfigDN gesetzt (erste Code-Zeile), als auch später der LDAP-Pfad der CDP.

Versuche ich trotzdem, diese Sperrliste mit dem Befehl
01.
certutil -dspublish -f "certcrl.crl"
ins AD zu importieren, schlägt dieser Vorgang fehl.

01.
ldap: 0xa: 0000202B: RefErr: DSID-031007EF, data 0, 1 access points 
02.
        ref 1: 'unavailableconfigdn' 
03.
 
04.
CertUtil: -dsPublish-Befehl ist fehlgeschlagen: 0x8007202b (WIN32: 8235) 
05.
CertUtil: Eine Referenzauswertung wurde vom Server zurückgesendet.)
Damit kann ich auch die untergeordnete ausstellende Zertifizierungsstelle (Issuing CA) nicht starten (also den Dienst).

Hab gegoogelt und gegoogelt, hab aber entweder nur Beiträge gefunden, die am Ende nicht gelöst wurden, oder Beiträge, bei denen der Ersteller einen Punkt bei der Einrichtung der Root CA vergessen hatte. Beides bringt mich leider nicht weiter.

Hat noch jemand Ansätze?

Viele Grüße,
die Kaffeepause
Mitglied: Kaffeepause
13.01.2012 um 09:49 Uhr
Hat sich erledigt.

Man muss in der Offline-Root-Zertifikatsstelle in die Eigenschaften gehen und dort bei "Erweiterungen" die Punkte "ldap" und "file" als Verteilungsorte entfernen.

Dann passt das auch.

Hat in der mir vorliegenden Dokumentation gefehlt, steht aber in verschiedenen Internet-Anleitungen.


PS: Hab auch beim neuen Versuch ein Postinstallationsskript OHNE den AIA- und CDP-Bereich verwendet. Denn in dem mir vorliegenden Skript wurden dort die Verteilungspfade festgelegt, unter anderem auch im Active Directory (LDAP). Die Root-CA ist jedoch kein Mitglied der Domäne, kann das also gar nicht prüfen. Das schien mir also falsch. Möglicherweise war dieses mir vorliegende Skript nicht für die Root-CA gedacht, sondern für die Issuing-CA. Denn dort ist der Verteilungspunkt im Active Directory sinnvoll.
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen
IIS+PKI Sperrlisten Verzeichniss soll nicht angezeigt werden
gelöst Frage von iceboxyzSicherheitsgrundlagen2 Kommentare

Hallo zusammen, ich habe gerade eine 2 Stufen PKI gebaut, die auch funktioniert. Sperrseite habe ich auf eine WEB ...

Windows Server
Microsoft Zertifikatsserver (2008R2) zeigt beim Web-Enrollment einzelne Menüpunkte nicht an
Tipp von FishersFritzWindows Server

Bei der Anforderung eines Benutzerzertifikat mittels Web-Enrollment stieß ich auf das Problem, dass im Menü auf der Seite der ...

Neue Wissensbeiträge
Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 MinuteSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 14 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 17 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 18 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...