langerLulatsch

Servus grizzly999, zunächst vielen Dank für deine Info. Die mehrfachen CA's hatten in meiner Überlegung den Hintergrund, jeweils pro einer unserer Niederlassung eine eigene CA zu haben, welche aber zentral verwaltet werden. Sind übrigens nicht in AD eingebunden, sondern eigenständige CA's. Wollen die CA's für IPSec-Zertifikate nutzen und über den Aussteller filtern, wer wohin Zugriff haben darf. Mal ganz **** gefragt: Könnte man im Webbrowser nicht unterschiedliche virtuelle Verzeichnisse anlegen,die dann auf das certsrv der einzelnen CA's verweisen? OK,zu dem Schluß bin ich nun auch gekommen. Dann hat der Sperrlistenverteilungspunkt nur Einfluß auf die im Zertifikat hinterlegten Infos zum Abrufen der Sperrlisten. Viele Grüße Uwe

Hallo Zusammen, gerade angemeldet und schon ein Problem: Zur zeit versuche ich eine PKI aufzubauen, bestehend aus einer Root-Ca, einer SubCA und darunter mehrere SubIssueCA's. Idee war jetzt, lediglich einen Webserver zur Entgegennahme der Zertifikatsanforderungen bzw zur Verteilung der Sperrlisten zu verwenden. Nur wie bekomme ich auf dem Webserver eine Trennung für die verschiedenen CA's hin??? Habe zunächst versucht auf dem Webserver den Webrigistrierungssupportzu installieren. Tut soweit auch, aber nur mit einer CA. Jemand ne Idee, wie ich sowas bewerkstelligen kann bzw ob das überhaupt möglich ist?? Zweites Problem ist das Veröffentlichen der CRL's. Habe in den SubIssueCA's den Sperrlistenverteilungspunkt angepaßt, dass dieser in allen CA's auf die Freigabe CertEnroll des Webserver verweist. So steht es zumindest auch im TechNet. Versuche ich nun die Sperrliste zu veröffentlichen bekomme ich immer die Fehlermeldung "Verzeichnisname ungültig". Händisches rüberkopieren der CRL's funktioniert aber. Hatte jemand schon mal ein ähnliches problem oder kann mir da weiterhelfen?! Viele Grüße Uwe