Zweistufige pki unter w2008 r2

neuland14 · 24. März 2011

Probleme mit certutil -dsPublish beim Einbinden des Zertifikats ins AD

Hallo zusammen,

möchte gerne eine Zweistufige PKI unter W2008R2 erstellen, laut der Anleitung bei Galileo

Galileo Computing :: Windows Server 2008 R2 – 12.12 Zweistufige Architektur implementieren

Abbildung: 12.109

Die Root-CA ist nicht in der Domäne und hat den Hostnamen = CA

Die Domäne lautet lan.lokal

Die Eingabe von:

certutil -dsPublish -f CA.lan.lokal_CERTROOT.crt RootCA ldap:///CN=CERTROOT,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=lan,DC=lokal?cACertificate

Erzeugt folgende Fehlermeldung:

Max. 3 Option(en) erwartet, 6 erhalten

CertUtil: Zu viele Optionen.

Da ich vermutet habe das die Leerstellen diesen Fehler verursachten versuchte ich folgende Eingabe:

certutil -dsPublish -f CA.lan.lokal_CERTROOT.crt RootCA "ldap:///CN=CERTROOT,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=lan,DC=lokal?cACertificate"

Dies verursacht folgenden Fehler:

CertUtil: -dsPublish-Befehl ist fehlgeschlagen: 0x80070057 (WIN32: 87)

CertUtil: Falscher Parameter.

Hänge hier nun schon Std. fest, kann jemand den Fehler erkennen oder gibt es noch eine Andere Möglichkeit das Zertifikat und die Sperrliste im AD zu veröffentlichen?

olc · 24. März 2011

Hi neuland14, willkommen an Bo(a)rd, :)

im Normalfall benötigst Du nicht die Angabe vom LDAP Objekt, es reicht ein simples: "cerutil -dsPublish -f RootCA.crt RootCA".

Damit sollte es dann klappen. :)

Ein "certutil -dspublish -?" gibt Dir eine Übersicht über die möglichen Optionen und die erforderliche Syntax.

Viele Grüße

olc

Dunkelmann · 25. März 2011

Bei einem solchen Dateinamen

CA.lan.lokal_CERTROOT.crt

solltest Du den Dateinamen bzw. Pfad in Anführungszeichen setzen. CertUtil ist ein recht "simples" Kommando und glaubt ansonsten der Dateiname wäre "CA.lan".

Randnotiz:

Für eine Testumgebung ist das Gallileo open book ausreichend.

Falls Du produktiv gehen möchtest bzw. etwas mehr Hintergrundinformationen benötigst, empfehle ich einen Blick in Brian Komars "PKI & Certificate Security".

olc · 25. März 2011

Hi,

Bei einem solchen Dateinamen solltest Du den Dateinamen bzw. Pfad in Anführungszeichen setzen.

Das ist in diesem Fall nicht notwendig, es sind ja keine Leerzeichen vorhanden.

CertUtil ist ein recht "simples" Kommando und glaubt ansonsten der Dateiname wäre "CA.lan".

Certutil ist alles, nur nicht "simpel". ;) Und mit Punkten im Namen kommen im Normalfall alle aktuellen Programme zurecht - so auch certutil. Es liegt wie angesprochen mit hoher Wahrscheinlichkeit schlichtweg an der Angabe des LDAP Pfades, der nicht notwendig ist (zumal dieser dann auch noch Leerzeichen enthalten hätte).

Viele Grüße

olc

neuland14 · 25. März 2011

Hi neuland14, willkommen an Bo(a)rd, :)

im Normalfall benötigst Du nicht die Angabe vom LDAP Objekt, es reicht ein simples: "cerutil -dsPublish -f RootCA.crt RootCA".

Damit sollte es dann klappen. :)

Ein "certutil -dspublish -?" gibt Dir eine Übersicht über die möglichen Optionen und die erforderliche Syntax.

Viele Grüße

olc

Danke so gehts! ;)

neuland14 · 25. März 2011

Hi,

Das ist in diesem Fall nicht notwendig, es sind ja keine Leerzeichen vorhanden.

Certutil ist alles, nur nicht "simpel". ;) Und mit Punkten im Namen kommen im Normalfall alle aktuellen Programme zurecht - so auch certutil. Es liegt wie angesprochen mit hoher Wahrscheinlichkeit schlichtweg an der Angabe des LDAP Pfades, der nicht notwendig ist (zumal dieser dann auch noch Leerzeichen enthalten hätte).

Viele Grüße

olc

Danke für den Buch Tipp und die Info:)

Anmelden

Zweistufige pki unter w2008 r2

Empfohlene Beiträge

neuland14 10

olc 18

Dunkelmann 96

olc 18

neuland14 10

neuland14 10

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Benutzerkonto erstellen

Anmelden

Menu

Aktivitäten