Soapp 10 Geschrieben 10. Dezember 2009 Melden Teilen Geschrieben 10. Dezember 2009 Hallo Profis, laut einer Anleitung im Internet soll man in den Erweiterungen der Zertifizierungsstelle unter "Zugriff auf Stelleninformationen" als Link http://servername/ocsp eintragen. Nur versteh ich überhaupt nicht, wie die CLients über diesen Weg die Sperrlisten finden sollen. Leider habe ich bisher keine einigermassen funktionierende Beschreibung gefunden, wie man OCSP einrichtet. Warum trägt man überhaupt unter "Zugriff auf Stelleninformationen" den Pfad zu Sperrlisten ein, obwohl hier doch ausdrücklich steht, dass hier der Pfad zum Zertifikat der Zertifizierungsstelle einzugeben ist. Ich blick nicht durch :confused: Kennt sich jemand aus ? Danke Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 10. Dezember 2009 Melden Teilen Geschrieben 10. Dezember 2009 Hi, merkwürdig, bei mir gibt es eine Beschreibung auf Platz 1 der Suchmaschine meiner Wahl: Windows Server 2008: Active Directory OCSP einrichten - Windows-Authentifizierung durch Zertifikate | TecChannel.de Oder auch Platz 2 und 3: Configure a CA to Support OCSP Responders Konfigurieren einer Zertifizierungsstelle zur Unterstützung von OCSP-Respondern Viele Grüße olc Zitieren Link zu diesem Kommentar
Soapp 10 Geschrieben 11. Dezember 2009 Autor Melden Teilen Geschrieben 11. Dezember 2009 Hi, merkwürdig, bei mir gibt es eine Beschreibung auf Platz 1 der Suchmaschine meiner Wahl: Windows Server 2008: Active Directory OCSP einrichten - Windows-Authentifizierung durch Zertifikate | TecChannel.de Oder auch Platz 2 und 3: Configure a CA to Support OCSP Responders Konfigurieren einer Zertifizierungsstelle zur Unterstützung von OCSP-Respondern Viele Grüße olc Hallo olc, die kenne ich alle.... Allerdings will ich wissen, wie der Client den OCSP findet, und was es mit dieser url http://<ServerDNSName>/ocsp'>http://<ServerDNSName>/ocsp auf sich hat. -- Zitat: Wählen Sie zunächst im Kontextmenü der CA den Befehl Eigenschaften, um eine Konfigurationsanpassung für diese CA durchzuführen. Im Register Erweiterungen selektieren Sie anschließend bei Erweiterung auswählen die Option Zugriff auf Stelleninformationen. In der englischen Version heißt diese Funktion Authority Information Access, also Zugriff auf Autoritätsinformationen. Die Übersetzung ist, wie es ja gelegentlich vorkommt, etwas unglücklich gewählt. Dazu muss zunächst ein Ort vorbereitet werden: Über Hinzufügen können Sie neue Orte für die Anforderung von Informationen konfigurieren. Für OCSP ist die folgende Form gültig: http://<ServerDNSName>/ocsp -- Wenn ich das allerdings so mache, bekomme ich im Snap-IN PKI-VIEW (zu erreichen über den Server-Manager) Fehlermeldungen. OCSP-Speicherort#1 - Fehler - http://nyc-dc1/CertEnroll/Woodgrovebank.crt OCSP-Speicherort#2 - Fehler - http://nyc-dc2/ocsp Ich habe auf dem Server nyc-dc1 die Ausstellende CA und auf dem Server nyc-dc2 den Online Responder. Die 1. URL stand schon automatisch drin, diese endet mit einem Dateinamen, die 2. Url, die man hinzufügen soll ist ein Ordnerpfad.... wie passt das alles zusammen ? Hier noch eine Anleitung von Microsoft: .... Klicken Sie auf die Registerkarte Erweiterungen. Klicken Sie in der Liste Erweiterung auswählen auf Zugriff auf Stelleninformationen, und klicken Sie dann auf Hinzufügen. Geben Sie die Speicherorte an, von denen Benutzer Zertifikatsperrdaten beziehen können, z. B. http://computername/ocsp. Aktivieren Sie das Kontrollkästchen In Online Certificate Status-Protokoll (OCSP)-Erweiterungen einbeziehen. In dem Ordner /ocsp des Online Responders liegen aber keine Sperrdaten !! Wie kommen die dorthin ? Kopieren ? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 11. Dezember 2009 Melden Teilen Geschrieben 11. Dezember 2009 Hi, daß Du nur die URL eingibst und keine konkrete CRL ist normal und "Sinn der Sache". ;) OCSP bietet Dir ja genau die Möglichkeit, eben nicht eine komplette CRL oder Delta CRL abzurufen, sondern Du prüfst beim Zugriff konkrete Zertifikate auf Gültigkeit. Wie genau bist Du denn bei der Einrichtung vorgegangen, welche Schritte hast Du durchgeführt (nach welcher Anleitung). Hast Du das OCSP signing Zertifikat angelegt, ggf. die IIS Zugriffseinstellungen bearbeitet usw.? Ist der Client, auf dem Du den PKIVIEW durchführst Vista / 2008 oder höher oder noch XP? Unter XP / 2003 wird OCSP nicht standardmäßig unterstützt. Viele Grüße olc Zitieren Link zu diesem Kommentar
Soapp 10 Geschrieben 11. Dezember 2009 Autor Melden Teilen Geschrieben 11. Dezember 2009 Hi, daß Du nur die URL eingibst und keine konkrete CRL ist normal und "Sinn der Sache". ;) OCSP bietet Dir ja genau die Möglichkeit, eben nicht eine komplette CRL oder Delta CRL abzurufen, sondern Du prüfst beim Zugriff konkrete Zertifikate auf Gültigkeit. Wie genau bist Du denn bei der Einrichtung vorgegangen, welche Schritte hast Du durchgeführt (nach welcher Anleitung). Hast Du das OCSP signing Zertifikat angelegt, ggf. die IIS Zugriffseinstellungen bearbeitet usw.? Ist der Client, auf dem Du den PKIVIEW durchführst Vista / 2008 oder höher oder noch XP? Unter XP / 2003 wird OCSP nicht standardmäßig unterstützt. Viele Grüße olc Erstmal danke für die Antwort, jetzt verstehe ich warum da nur eine URL ohne Dateiname steht Hier die Lösung für alle, die keine Fehlermeldungen in pkiview haben wollen: Warum das funktioniert versteh ich nicht, aber es funktioniert: Sprich, OCSP-Speicherort#1 wird nun ohne Fehler angezeigt OCSP Responder - Error in pkiview.msc Das einzige was mich jetzt noch wundert ist, warum auf dem Vista Client mit certutil -urlfetch -verify test.cer das Zertifikat als gesperrt gemeldet wird (was der Fall ist) aber mit certutil -url test.cer und der Auswahl OCSP (von AIA) als Meldung "Gescheitert" kommt. Hier kann er anscheinend nicht auf den OCSP zugreifen. Selbst wenn ich "Sperrlisten vom CDP" auswähle meldet er "Überprüft". Auf der Ausstellenden CA habe ich natürlich nach der Sperrung eine neue Sperrliste veröffentlicht Weiss da jemand noch was darüber ? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 11. Dezember 2009 Melden Teilen Geschrieben 11. Dezember 2009 Hi, ich vermute das liegt am CRLCache, der erst erneuert wird, wenn die CRL nicht mehr aktuell ist. Unter Vista kannst Du den Cache leeren, unter XP geht das nicht offiziell. Viele Grüße olc Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 6. März 2010 Melden Teilen Geschrieben 6. März 2010 Hi olc, ich habe das gleiche Problem. Habe den Online-Responder Dienst installiert und in der IssuingCA als "Zugriff für Stelleninformationen" folgenden Eintrag hinterlegt: http://<servername>/ocsp und beide Haken für AIA und OCSP gesetzt. Leider besteht hierauf wohl kein Zugriff. Im IIS ist unter "Default Web Site" noch "ocsp" angelegt. Trotzdem läuft es nicht. Hab mal irgendwo gelesen, dass irgendein virtueller Ordner für OCSP standardmäßig nicht angelegt wird. Die Info hab ich leider nicht mehr gefunden. Ich bin nach der Beschreibung aus dem 70-640er Buch vorgegangen. Wäre super, wenn du mir helfen könntest. Grüßle toasti PS: Die andere Cert-Geschichte lief super, nachdem ich neue Server aufgesetzt hatte und alles nochmal (richtig) neu gemacht habe ;-) Zitieren Link zu diesem Kommentar
Soapp 10 Geschrieben 6. März 2010 Autor Melden Teilen Geschrieben 6. März 2010 Hi olc, ich habe das gleiche Problem. Habe den Online-Responder Dienst installiert und in der IssuingCA als "Zugriff für Stelleninformationen" folgenden Eintrag hinterlegt: http://<servername>/ocsp und beide Haken für AIA und OCSP gesetzt. Leider besteht hierauf wohl kein Zugriff. Im IIS ist unter "Default Web Site" noch "ocsp" angelegt. Trotzdem läuft es nicht. Hab mal irgendwo gelesen, dass irgendein virtueller Ordner für OCSP standardmäßig nicht angelegt wird. Die Info hab ich leider nicht mehr gefunden. Ich bin nach der Beschreibung aus dem 70-640er Buch vorgegangen. Wäre super, wenn du mir helfen könntest. Grüßle toasti PS: Die andere Cert-Geschichte lief super, nachdem ich neue Server aufgesetzt hatte und alles nochmal (richtig) neu gemacht habe ;-) was genau funktioniert jetzt nicht ? :cool: Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 6. März 2010 Melden Teilen Geschrieben 6. März 2010 Hi Soapp! Die URL funktioniert nicht, d.h. unter Unternehmens-PKI kommen bei diesem Eintrag Fehler. Muss man denn noch was am IIS drehen? Wäre super, wenn du mir helfen könntest! :-) Grüßle toasti Zitieren Link zu diesem Kommentar
Soapp 10 Geschrieben 6. März 2010 Autor Melden Teilen Geschrieben 6. März 2010 (bearbeitet) Hi Soapp! Die URL funktioniert nicht, d.h. unter Unternehmens-PKI kommen bei diesem Eintrag Fehler. Muss man denn noch was am IIS drehen? Wäre super, wenn du mir helfen könntest! :-) Grüßle toasti dummerweise hab ich zwischenzeitlich meine ganzen VMWAREs wieder mal neu aufgesetzt, kann also gerade nicht testen. Aber DEN Link hast du schon durchgelesen, oder ? OCSP Responder - Error in pkiview.msc Wie hast du die PKI aufgebaut ? Offline Stammzertifizierungsstelle+Untergeordnete Online Zertiofizierungsstelle, oder wie genau ? Auf welchen Rechnern läuft was genau ? So, hab schnell mal 2 zertifizierungsstellen installiert und einen OSCP. Auf dem OSCP musst du das OCSP Antwortzertifikat installieren und das Zertifikat der Stammzertifizierungsstelle. In dem OSCP selber: Wie ist der Sperrkonfigurationsstatus ? Ist der "grün", also OK ? bearbeitet 6. März 2010 von Soapp Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 7. März 2010 Melden Teilen Geschrieben 7. März 2010 Hey, den Link hab ich schon angeschaut und auch ausprobiert. Funzt nicht. Denke auch, es liegt irgendwie am IIS. Dort ist als virtuelles Verzeichnis "ocsp" angelegt, der Ordner auf der Festplatte ist aber leer auf den hier gezeigt wird. Hier mein Aufbau: Server05: Eigenständige RootCA, ist NICHT offline Server06: Issuing CA inkl. Online-Responder und Registrierung für Netzwerkgeräte Server07: Domaincontroller Alles in der Domäne "toasti.net". OCSP-AntwortCert ist installiert. Ein von der RootCA ausgestelltes Cert ist natürlich auch installiert. Sperrkonfiguration ist angelegt, Sperranbieter sind auch drin. Hier habe ich den Pfad "http://server06.toasti.net/CertEnroll/toasti-IssuingCA.crl" hinzugefügt. Habe mittlerweile aber gelesen, dass die Sperranbieter ignoriert werden, wenn auf dem gleichen Server wie dem OCSP auch die IssuingCA läuft, d.h. er sucht sowieso erstmal lokal nach einer Sperrliste. Wenn du den grünen Pfeil unter Arraykonfig bei Server06 meinst, den habe ich. Hier noch ein Screenshot. Was ist der AIA-Speicherort eigentlich genau? Wenn ich das richtig verstehe liegen hier ja die Zertifikate der CA die dann durch den Client abgefragt werden können. Stimmt das? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. März 2010 Melden Teilen Geschrieben 7. März 2010 Hi toasti, trotz der Anzeige von PKIView kann OCSP korrekt funktionieren. Check das lieber einmal mit "certutil -url" bzw. "certutil -urlfetch -verify Dein_Zertifikat.cer". Siehe dazu auch OCSP Responder - Error in pkiview.msc Oder ändere den Typen des Eintrags auf "32", falls Du eine "34" eingetragen hast (solltest Du es per Registry Änderung und nicht per GUI durchgeführt haben): http://www.winserverkb.com/Uwe/Forum.aspx/windows-cryptography/2242/Problem-with-OCSP AIAs enthalten die Informationen zu Root- und Issuing CAs bzw. deren Zertifikate. Viele Grüße olc Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 7. März 2010 Melden Teilen Geschrieben 7. März 2010 Hi olc, ich habe soeben noch einmal neu die Sperrkonfig erstellt und dabei das Cert der IssuingCA gewählt und auf einmal funktioniert es. Laut MS Buch soll man an dieser Stelle hier das RootCA wählen. Das stimmt doch nicht, oder? Denn wie gesagt habe ich jetzt hier das rot markierte IssuingCA-Cert verwendet und es zeigt keinen Fehler mehr an. Hab ich das so richtig gemacht? Dem MS Buch kann man bald nicht mehr trauen... ------ Dann habe ich nochmals den standardmäßigen http Punkt für AIA aktiviert und wieder ein Fehler. Was passt denn hier nicht?? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. März 2010 Melden Teilen Geschrieben 7. März 2010 Hi, ich komme bei Deinen steten Änderungen nicht mehr mit, von daher habe ich keine Antwort auf Deine Fragen. :wink2: Bezüglich des HTTP Fehlers würde ich davon ausgehen, daß das IssuingCA(1) Zertifikat schlichtweg von Dir / der CA nicht an der HTTP Lokation veröffentlicht wurde. Viele Grüße olc Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 7. März 2010 Melden Teilen Geschrieben 7. März 2010 Hi, ich komme bei Deinen steten Änderungen nicht mehr mit, von daher habe ich keine Antwort auf Deine Fragen. :wink2: Ich hätte aber gerne eine Antwort, deswegen erklär ich es nochmal ;-) Als ich das erste mal die Sperrkonfig für den Online-Responder hinzugefügt habe, bin ich ja genau nach dem MS-Press Buch vorgegangen. Hier wurde dann beschrieben, dass man bei dem Schritt "Zertifizierungsstellenzertifikat auswählen" das Cert der Root CA wählen soll, da überprüft werden muss, ob der Aussteller des Certs ein gültiges Cert hat. So richtig schlau bin ich nicht drauß geworden. Kam mir auf jeden Fall spanisch vor und habe auch keine Infos bei Technet gefunden welches Cert man denn genau auswählen muss. Nach Fertigstellen der Konfig kam also der Fehler. Jetzt habe ich bei dem oben genannten Schritt das Cert der IssuingCA gewählt, auf dem auch der Online-Responder läuft. Und siehe da, es klappt. Ich hoffe ich hab das wenigstens ein bißchen verständlich erklärt... Was mir aber auch nicht klar ist: Ich habe den Pfad "http://<servername>/ocsp von Hand hinzugefügt. Im Buch wurde davon NICHTS erwähnt. Ist doch irreführend, oder? Bin ich also richtig vorgegangen? Bezüglich des HTTP Fehlers würde ich davon ausgehen, daß das IssuingCA(1) Zertifikat schlichtweg von Dir / der CA nicht an der HTTP Lokation veröffentlicht wurde. Das virtuelle Verzeichnis "CertEnroll" gibts auch gar nicht im IIS, muss man das von Hand erstellen? Ich hatte es bereits angelegt und den Pfad dahinter auch genau auf "C:\Windows\System32\CertSrv\CertEnroll" gelegt. Funktioniert hats aber nicht... Edit: OK, so langsam dreh ich durch *GG* Habs grad nochmal angelegt und auf einmal klappts auch hier. Man man... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.