2K8R2 - 2 Stufige PKI

[Beetlejuice]

Hallo zusammen,

entweder habe ich eine großen Gedankenfehler oder habs nicht ganz verstanden.

Ich möchte eine Stufige Zertifizierungsumgebung einrichten, bestehend aus:
- Root CA / Eigenständige Zertifizierungsstelle
- Sub CA / Unternehmenszertifizierungsstelle

Ich habe nun die Root-CA installiert, Zertifikatsperrlisten und Ablaufdatum der Zertifikate konfiguriert. Soweit OK.

Nun habe ich die Sub-CA installiert, das Zertifikat und die Anfordern in einer Datei und in der Root-CA eingereicht. Dies wurde dann genehmigt. Das Zertifikat wurde überprüft. Ablaufdautm, CA Pfade usw sind eigentlich richtig. Anschließend dass ausgestellte Zertifiakt auf der Root-CA öffnen und "In Datei speichern" im p7b Format exportiert.

Jetzt will ich das ausgestellte und signierte Zertifikat in der Sub-CA installieren um die Installation abzuschließen. Und hier kommt nun mein Problem ...

Fehlermeldung:
The root certificate is untrusted. Do you wish to trus the root certificate on this machine and compete the installation? A certificate chain processed, but terminated in a root certificate wich is not trusted bey the trust provider. 0x800b0109.

Kann mir jemand sagen oder erklären warum er das signierte Zertifikat nicht annehmen möchte??

cu

[Dukel]

Steht doch in der Fehlermeldung: The root certificate is untrusted.

Du musst das Root Zertifikat in der Sub CA irgendwo eintragen (frag mich aber nicht wo).

[blub]

Zitat von Dukel (frag mich aber nicht wo).

in "vertrauenswürdige Stammzertifizierungsstellen" per GPO oder direkt pro Rechner mit certmgr.msc

blub

[Beetlejuice]

Hallo,

ich habe ja schonmal probiert das Root-CA Zertifikat zu exportieren und auf dem Sub-CA nach "Trusted Root Certification Authorities" zu installieren. Das Zertifikat ist drauf, kann über den certmgr.msc geprüft werden, jedoch bekomme ich die gleiche Fehlermeldung wie oben bereits beschrieben.

[Beetlejuice]

Hi,

habt ihr sonst noch Ideen wie und warum ich da Probleme habe.

Im Ereignislog von der Sub-CA finde ich folgende Fehlercodes, 48 und 100.
Diese weisen darauf hin, das es Probleme mit der Überprüfung des Zertifizierungsstellenzertifikats gibt.

[StefanWe]

wenn du das root Zertifikat auf der sub-ca öffnest, ist dass zertifikat dann "in Ordnung". Also trusted? Kein rotes X irgendwo? Hostname passt auch?

Wenn nicht, hast du es auch im Computerkonto in Vertrauenswürdige Stammzertifikate importiert?

[Cybquest]

Ist der Zugriff auf die AIA und CRL URLs sichergestellt und funktioniert?

[Beetlejuice]

Zitat von StefanWe wenn du das root Zertifikat auf der sub-ca öffnest, ist dass zertifikat dann "in Ordnung". Also trusted? Kein rotes X irgendwo? Hostname passt auch? Wenn nicht, hast du es auch im Computerkonto in Vertrauenswürdige Stammzertifikate importiert?

Das Root-Zertifikat ist in ordnung und auch das Sub-Zertifikat wird als korrekt auf dem Root-CA Server angezeigt.

Zitat von Cybquest Ist der Zugriff auf die AIA und CRL URLs sichergestellt und funktioniert?

Der Zugriff ist gestattet, jedoch ohne Webserver. Also nur auf Dateiebene, Freigabe ist aber konfiguriert.

Habe das Problem jetzt aber beheben können, denke ich. Ich habe erst versucht das Root-Zertifikat mittels der Konsole "certsrv" zu importieren was aber nicht funktionierte. Dann habe ich das Root Zertifikat mittels folgenden Befehl "certutil -addstore .....crt" hinzugefügt. Nun konnte auch das signierte Zertifikat für die Sub-CA installiert werden.

Nun habe ich bemerkt, das der IIS 6 nicht installiert war und habe den jetzt nach installiert. Nun muss ich den von Hand konfigurieren, hat da jemand erfahrung mit?

Als 2. Stepp habe ich mittels GPO das automatische ausrollen der Domencontroller Zertifikate eingerichtet. Auf der SubCA (die auch als DC fungiert) wurde ein Zertifikat ausgestellt, jedoch für die anderen DC nicht. Warum und kann man das von den jeweiligen DCs manuell anstoßen?

Aufgefallen ist mir auch, dass wenn ich mir das Sub-CA Zertifikat auf einem der normalen DC's anschaue, der DC keine ausreichenden Informationen hat um das Zertifikat zu verifizieren. Der Zertifizierungsstatus zeigt Gelb und folgende Fehlermeldung "Der Aussteller dieses Zertifikats wurde nicht gefunden.". Kann es sein, dass es da Probleme mit dem Root Zertifikat und der AD gibt?

Ich hoffe euch mit den Fragen nicht all zu doll gelöchert zu haben.

Danke für eure Unterstützung.

[Beetlejuice]

Hi,

um hier einen neuen stand mitzuteilen.

Für die konfiguration des IIS 6 habe ich kurzerhand mit certutil in der Konsole den Webserver eingerichtet. Ich muss schon sagen, das certutil ist ganz schön mächtig.
Folgender Befehl wurde ausgeführt: "certutil -vroot"

Auch das Problem mit dem Zertifizierungsstatus auf den DCs habe ich mittels certutil behoben.
Ich habe zusätzlich das Root-Zertifikat mittels certutil in das AD gekippt. Nach der Replikation ist nun auf den anderen DC's das Root-CA vorhanden.
Folgender Befehl wurde ausgeführt: "certutil -dspublish -f xxxx.crt RootCA"

Kann mir vielleicht dazu einer erklären warum dies nicht automatisch bei dem Import in die SubCA passiert ist?


Jetzt habe ich nur noch ein Problem, die anderen DC's bekommen kein DC-Zertifikat. Es wird eine Fehlermeldung ins Ereignislog geschrieben...

Ereignistyp: Fehler
Ereignisquelle: AutoEnrollment
Ereigniskategorie: Keine
Ereigniskennung: 13
Datum: 03.02.2012
Zeit: 15:45:27
Benutzer: Nicht zutreffend
Computer: DC01
Beschreibung:
Die automatische Zertifikatregistrierung für "lokaler Computer" konnte ein Zertifikat "Domänencontroller" (0x80070005) nicht registrieren. Zugriff verweigert.


Folgendes habe ich geprüft/durchgeführt:
- Die Gruppe "Domänencontroller" in der Gruppe "CERTSVC_DCOM_ACCESS" aufgenommen
- Berechtigung der Zertifikatsvorlage "Domänencontroller" auf Lesen und Registrieren gesetzt

cu

[Beetlejuice]

Hallo zusammen,

es funktioniert jetzt alles wie gewünscht. Folgendes hat letztendlich geholfen:

"give time, don't panic"

cu