Jump to content

Fehlermeldung bei Zertifikatssperrliste in Enterprise CA


Direkt zur Lösung Gelöst von Dunkelmann,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe bei uns eine PKI mit Offline Root CA erstellt. Soweit funktioniert auch alles, doch möchte ich mir bei der untergeordneten CA über einen rechten Mausklick auf "Gesperrte Zertifikate"|"Eigenschaften"|"Zertifikatssperrliste Anzeigen" die Sperrliste anzeigen lassen, so steht dort nur:

 

Schlüsselindex                     Gültig Ab

0                                           "Das Zertifizierungsstellenzertifikat wurde für diese Sperrliste gesperrt"

 

Das mag sogar richtig sein, denn der CA wurde zuerst ein Zertifizierungsstellenzertifikat zugewiesen dessen Gültigkeit versehentlich nur 1 Jahr Betrug. Ich habe das korrigiert, auf der Root CA ein neues Zertifikat mit einer längeren Gültigkeit erstellt und dieses untergeordneten Zertifizierungsstelle als Zertifizierungsstellenzertifikat zugewiesen. Das Ursprüngliche Zertifizierungsstellenzertifikat habe ich dann in der Root CA gesperrt und die Sperrliste neu veröffentlicht. Auf der Root CA kann ich mir deren Sperrliste auch wie oben beschrieben korrekt Anzeigen lassen.

 

Wenn ich die Sperrliste auf der untergeordneten CA neu veröffentliche, finde ich die CRL auch mit allen gesperrten Zertifikaten im .../CertEnroll Verzeichnis. Trotzdem bleibt die Fehlermeldung.

 

Was ist zu tun um an der beschriebenen Stelle wieder einen gültigen Sperrlisteneintrag zu bekommen? I

 

Ich habe schon versucht die Sperrlistendatei mit Certutil neu zu signieren und dabei das aktuelle Zertifizierungsstellenzertifikat ausgewählt. Der Befehl wird auch angenommen, aber leider hat das keinerlei Auswirkungen auf die Anzeige in der Zertifikatsstellenverwaltung. 

 

Danke für Eure Hilfe

bearbeitet von markmaus
Link zu diesem Kommentar
Vielen Dank, das hat geholfen.

 

was mache ich nun mit den alten Root Zertifikaten (0 und 1) und der fehlerhaft angezeigten Sperrliste zum Schlüsselindex "0" ? Diese wurden eigentlich noch nirgends verwendet. Kann ich diese, der Übersicht halber löschen (falls das überhaupt möglich ist) oder sollte ich auch das alte Root-Zertifikat einfach sperren und trotzdem in der Zertifizierungsstelle belassen?

 

post-70797-0-22110600-1438364259_thumb.jpg
post-70797-0-30871300-1438364269_thumb.jpg
 

 

post-70797-0-22110600-1438364259_thumb.jpg

post-70797-0-30871300-1438364269_thumb.jpg

bearbeitet von markmaus
Link zu diesem Kommentar

Aus Gründen der Nachvollziehbarkeit würde ich die CA Zertifikate nicht entfernen, sondern den Vorfall dokumentieren. Eine PKI läuft 10 Jahre oder mehr.

Wer weis heute schon, wer die nächste Erneuerung der Sub CA in einigen Jahren durchführt. Da kann so eine Unterbrechung in der Sequenz Fragen aufwerfen und den Betrieb möglicherweise unnötig verkomplizieren.

 

Die Sperrliste mit der fehlerhaften Signatur kann nach Ablauf gelöscht werden, der vertraut ohnehin keiner mehr, da das CA Zertifikat ungültig ist.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...