olc 18 Geschrieben 7. März 2010 Melden Teilen Geschrieben 7. März 2010 Hi, dass man bei dem Schritt "Zertifizierungsstellenzertifikat auswählen" das Cert der Root CA wählen soll, da überprüft werden muss, ob der Aussteller des Certs ein gültiges Cert hat. So richtig schlau bin ich nicht drauß geworden. Du mußt das Zertifikat derjenigen CA angeben, für die OCSP die Sperrlisten Informationen bereitstellen soll. In Deinem Fall wäre das die Issuing CA, theoretisch könnte es aber natürlich auch die Root CA sein. Du bist also für Dein Szenario mit der Issuing CA richtig vorgegangen. Was mir aber auch nicht klar ist: Ich habe den Pfad "http://<servername>/ocsp von Hand hinzugefügt. Im Buch wurde davon NICHTS erwähnt. Ist doch irreführend, oder? Ich kenne das Buch nicht. Aber wenn es so ist, wie Du es beschreibst, dann fehlt da tatsächlich dieser Teil. Edit: OK, so langsam dreh ich durch *GG* Habs grad nochmal angelegt und auf einmal klappts auch hier. Man man... "certutil -vroot" sollte das bei Bedarf auch erledigen. Im Normalfall wird das Verzeichnis jedoch bei der Installation der Webregistrierungsstelle automatisch angelegt. Ich kann also nicht sagen, was bei Dir schief gelaufen ist. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 7. März 2010 Melden Teilen Geschrieben 7. März 2010 Du mußt das Zertifikat derjenigen CA angeben, für die OCSP die Sperrlisten Informationen bereitstellen soll. In Deinem Fall wäre das die Issuing CA, theoretisch könnte es aber natürlich auch die Root CA sein. Du bist also für Dein Szenario mit der Issuing CA richtig vorgegangen. OK, d.h. weil ich eine IssuingCA habe, ist das auch die Stelle, die dem Online-Responder die Sperrlisten zur Verfügung stellt. Hätte ich nur eine RootCA wäre dies die richtige Stelle. Das würde ja dann heißen, dass quasi die unterste Zertifizierungsstelle in einer Hierachie dem OCSP die Infos liefert, oder? "certutil -vroot" sollte das bei Bedarf auch erledigen. Im Normalfall wird das Verzeichnis jedoch bei der Installation der Webregistrierungsstelle automatisch angelegt. Ich kann also nicht sagen, was bei Dir schief gelaufen ist. :) Das probiere ich doch glatt mal aus. Warum das schief gegangen ist, versteh ich auch nicht. Bin genau nach Anleitung vorgangen und so viel anders kann man das doch nicht machen... Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. März 2010 Melden Teilen Geschrieben 7. März 2010 Hi, grundsätzlich kann auch die Root CA per OCSP die Sperrungen verteilen. Die Frage ist meist, ob das "sinnvoll" ist, insbesondere, wenn es sich um eine Offline CA gibt. Ich meine mich auch zu erinnern, daß man per OCSP Instanz auch mehrere CA CRLs "bedienen" kann - ist aber schon länger her, daß ich mich damit beschäftigt habe. Somit könntest Du beide CAs bzw. Sperrlisten mit einem OCSP Array bedienen. Viele Grüße olc Zitieren Link zu diesem Kommentar
Soapp 10 Geschrieben 7. März 2010 Autor Melden Teilen Geschrieben 7. März 2010 Hi, ich habe auch lange rumprobiert und lange rumgelesen, bis ich die Zusammenhänge zumindestens ein wenig verstanden habe. Aber wenn du dich so wie ich soooo intensiv damit auseinander gesetzt hast, dürfte die Prüfung für dich kein Problem sein. lernst du alleine oder machst du einen Kurs ? Glaub mir, ein paar Monate nach der Prüfung hast du eh schon wieder 60 % vergessen... Gruß Soapp Zitieren Link zu diesem Kommentar
Soapp 10 Geschrieben 7. März 2010 Autor Melden Teilen Geschrieben 7. März 2010 Das virtuelle Verzeichnis "CertEnroll" gibts auch gar nicht im IIS, muss man das von Hand erstellen? Ich hatte es bereits angelegt und den Pfad dahinter auch genau auf "C:\Windows\System32\CertSrv\CertEnroll" gelegt. Funktioniert hats aber nicht... Das virtuelle verzeichnis wird wohl auch nur angelegt, wenn du Webregistrierungsstelle auswählst, oder ? Ansonsten installiert er den IIS gar nicht mit... Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 7. März 2010 Melden Teilen Geschrieben 7. März 2010 Hi, grundsätzlich kann auch die Root CA per OCSP die Sperrungen verteilen. Die Frage ist meist, ob das "sinnvoll" ist, insbesondere, wenn es sich um eine Offline CA gibt. Ich meine mich auch zu erinnern, daß man per OCSP Instanz auch mehrere CA CRLs "bedienen" kann - ist aber schon länger her, daß ich mich damit beschäftigt habe. Somit könntest Du beide CAs bzw. Sperrlisten mit einem OCSP Array bedienen. Viele Grüße olc Dann muss aber auch der IIS auf der RootCA installiert sein, oder? Deswegen lief das bei mir nur wenn ich die Issuing wähle...aber klar, die RootCA ist normalerweise off... Hi, ich habe auch lange rumprobiert und lange rumgelesen, bis ich die Zusammenhänge zumindestens ein wenig verstanden habe. Aber wenn du dich so wie ich soooo intensiv damit auseinander gesetzt hast, dürfte die Prüfung für dich kein Problem sein. lernst du alleine oder machst du einen Kurs ? Glaub mir, ein paar Monate nach der Prüfung hast du eh schon wieder 60 % vergessen... Gruß Soapp PKI ist echt die Hölle...muss aber sagen, dadurch dass ich jetzt so lange Fehler gesucht habe ist natürlich auch viel hängen geblieben. Und trotzdem ist das Thema wahnsinnig kompliziert und alles verstanden hab ich auch noch nicht 100%ig. Das beste ist wohl die Praxis, aber damit kommt man bei diesem Thema weniger in Berührung, zumindest gehts mir so... Dafür hab ich die ersten 10 Kapitel der 70-640 wahrscheinlich schon wieder vergessen...muss wenn ich das Buch durch hab nochmal alles wiederholen, sonst wird das glaub nix. Ich lerne allein im Selbststudium mit dem Buch. Ist ganz schön heftig, zur Zeit muss ich mich echt zusammenreissen, dass ich lerne. Für die nächsten Prüfungen werde ich einen Kurs besuchen... Wie hast du es gemacht? Du hast die 70-640 ja schon. Das virtuelle verzeichnis wird wohl auch nur angelegt, wenn du Webregistrierungsstelle auswählst, oder ?Ansonsten installiert er den IIS gar nicht mit... Ganz genau, der IIS wird normalerweise gar nicht mitinstalliert wenn man einzig und allein Zertifizierungsstellen aufbaut, ohne OCSP...kein Wunder wie man dann manchmal nach Fehlern sucht während dem Lernen. Wahrscheinlich volle Absicht um den Lerneffekt in die Höhe zu treiben *G* Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. März 2010 Melden Teilen Geschrieben 7. März 2010 Hi, bezüglich Root CA: Nein, der Responder kann vollkommen unabhängig von der CA laufen. So kann man auch einen OCSP Responder nachträglich aufbauen, obwohl die URL nicht in den schon ausgestellten Zertifikaten vorhanden ist (per GPO). Stichwort CertEnroll: Das mit der Webregistrierung hatte ich oben schon geschrieben. Hättest Dir also ein wenig Zeit sparen können. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 8. März 2010 Melden Teilen Geschrieben 8. März 2010 Wenn doch aber die URLs nicht in den Zertifikaten sind, wie sollen die Clients den Weg zum OCSP finden? Irgendwie kappier ich das nicht... Zitieren Link zu diesem Kommentar
Soapp 10 Geschrieben 8. März 2010 Autor Melden Teilen Geschrieben 8. März 2010 Wenn doch aber die URLs nicht in den Zertifikaten sind, wie sollen die Clients den Weg zum OCSP finden? Irgendwie kappier ich das nicht... Appendix A: Managing OCSP Settings with Group Policy Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 8. März 2010 Melden Teilen Geschrieben 8. März 2010 Oh man, wer lesen kann ist klar im Vorteil. olc hatte es ja erwähnt....sorry, bin bißchen durchn wind... Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 9. Mai 2010 Melden Teilen Geschrieben 9. Mai 2010 Sooo, jetzt habe ich schon wieder den gleichen Fehler. Eine komplette Domain inkl. RootCA und IssuingCA aufgebaut. Soweit keine Fehler, nur das die OCSP-URL nicht erreichbar ist. Im Cert selbst ist sie eingetragen, eine Überprüfung der URL mit certutil -url schlägt fehl. Kann man die Rolle einfach wieder entfernen oder mach ich da was kaputt? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 9. Mai 2010 Melden Teilen Geschrieben 9. Mai 2010 Hi, am besten Du gehst die Punkte noch einmal durch, die wir hier in dem Thread besprochen hatten... Viele Grüße olc Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 9. Mai 2010 Melden Teilen Geschrieben 9. Mai 2010 Hab den Rollendienst OCSP neu installiert, jetzt tut es! Habe wieder das CAExchange Cert gesperrt, Dienst gestartet, aber es wird kein Neues mehr erstellt? Wie kann das sein? Kann ich das irgendwie initiieren? Neustart Dienst und auch Server half nichts. Hatte dann noch den Fehler, dass meine Delta Sperrliste nicht mehr zur Verfügung stand, hier half das hier: Windows PKI blog : How to avoid Delta CRL download errors on Windows Server 2008 with IIS7 EDIT: CAExchange Cert ist wieder da...das hat jetzt aber auch echt 30 Min gedauert! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.