RobPop

Hi, ja ich weiß, aber bis Dato hat es immer geklappt. Bin da nach Schema F vorgegangen. Ich hätte von der Sub-CA und von der Root-CA noch ein Backup. Meinst nicht das es vielleicht wieder klappen könnten wenn ich die Root-CA wieder auf ein Jahr zurücksetze? Die Laufzeit der Zertifikate für ein Jahr ist irgendwie zu wenig. Oder würde es evtl. reichen die Root-CA auf einen vorherigen Snapshot zurückzusetzen? Ich hatte ja 2 - Root-Zertifikate, jetzt habe ich das zweite Root-Zertifikat in das CertEnroll-Verzeichnis kopiert der Sub-CA kopiert und noch mal eine Zertifizierungsstellen-Erneuerung gemacht und siehe da ich habe in der PKI-View nur noch einen Fehler. Was könnte das für ein Fehler noch sein (Sperrstatus unbekannt)? Gruß Robert

Hallo Nils, erstmal Dank für deine Hilfe. Ich bin leider kein Zertifikatsprofi, ich denke ich habe keine Einstellung in den Zertifikatssperrlisten getätigt, falls ja dann unbewusst. Ich habe die Root-CA von einem Jahr auf 5 Jahre abgeändert. Erst mal sorry, ich weiß nicht genau wo ich nachsehen soll. Welche Zertifikate und Zertifikatsvorlagen meinst du, die in der Sub-CA? Und welche Informationen aus den Zertifikaten benötigst du? Ich habe das nun schon ein paar mal probiert, jetzt habe eine menge Zertifikate. Siehe: Ich habe komischerweise zwei Root-Zertifikate, eins läuft bi 28.02.2042 und das andere bis 26.02.2041. Gruß Robert

Hallo, Ich habe eine Offline-Root-Ca und eine Sub-Ca nun wollte ich wieder mal das Zertifizierungsstellenzertifikat für die Sub-CA erneuern, wie schon des Öfteren in der Vergangenheit. Leider bekomme ich nun den oben genannten Fehler. Beide Virtuelle Maschinen benutzen das Betriebssystem Windows Server 2012 R2. Die Root-Ca ist nicht in der Domäne, die Sub-Ca hingegen schon. Folgendermaßen bin ich vorgegangen -> Zertifizierungsstellenzertifikat erneuern -> C:\Windows\System32\certsrv\CertEnroll\*.crt zur Offline-Root-Ca kopiert ->Auf der Root-Ca dann eine neue Anforderung eingerichtet -> Dann die Anforderung ausgestellt -> Dann das erstellte Zertifikat exportiert -> Dann das Zertifikat bei Sub-Ca in “Vertrauenswürdige Stammzertifizierungsstellen” importiert -> Dann in der Zertifizierungsstelle installiert -> Da kam dann der Fehler mit CRYP_E_NO_REVOCATON_CHECK bekommen. Dazu muss ich sagen ich habe vorher bei der Root-Ca die ValidityPeriodUnits REG_DWORD auf 5 gestellt. Unter PKIVIEW.msc werden Fehler angezeigt und zwar folgende: - Zertifizierungsstellenzertifikat: Sperrstatus unbekannt - AIA Speicherort#1: Download nicht möglich - Speicherort für Sperrlistenverteilungspunkte#1: Download nicht möglich Wäre super wenn mir jemand hierbei weiterhelfen könnte. Gruß Rob