steppe 10 Geschrieben 9. Juni 2011 Melden Teilen Geschrieben 9. Juni 2011 Hallo zusammen, vor kurzem habe ich unsere alte einstufige CA abgelöst und gegen eine zweistufige ersetzt. Die alten DC Zertifikate wurden mittels certutil gelöscht und die neuen automatisch von der Zwischenzertifizierungsstelle (SubCA) ausgestellt. Im Computer Zertifikatsstore von jedem DC find ich auch das Zertifikat. Im Zertifikat sind 2 Sperrlistenstandorte eingetragen. Eine ist noch nicht erreichbar (daher das Problem ?!) Die genaue Fehlermeldung in Eventlog: Das zurzeit ausgewählte KDC-Zertifikat war vorher gültig, aber ist jetzt ungültig und es konnte kein geeigneter Ersatz gefunden werden. Die Smartcard-Anmeldung funktioniert vielleicht nicht richtig, wenn dieses Problem nicht behoben wird. Ich kannte die Meldung schon von den Zeiten als ich die alte CA mal offline hatte. Die neue SubCA ist aber up and running ;). Smartcard Authentifizierung wird bei uns nicht benutzt. Kann mir jemand einen Tipp geben ? Grüße Stephan Zitieren Link zu diesem Kommentar
steppe 10 Geschrieben 9. Juni 2011 Autor Melden Teilen Geschrieben 9. Juni 2011 Hier noch das was certutil beim DC Zertifikatscheck ausgeworfen hat: ** KDC-Zertifikate für DC Server01 Zertifikat 0: Seriennummer: blub Aussteller: CN=ISSUECA, DC=domain, DC=local Nicht vor: 22.05.2011 22:06 Nicht nach: 21.05.2012 22:06 Antragsteller: CN=Server01.domain.local Zertifikatvorlagenname (Zertifikattyp): DomainController Kein Stammzertifikat Vorlage: DomainController, Domänencontroller Zertifikathash(sha1): blub dwFlags = CA_VERIFY_FLAGS_NT_AUTH (0x10) dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000) dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000) Application[0] = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung Application[1] = 1.3.6.1.5.5.7.3.2 Clientauthentifizierung ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000) HCCE_LOCAL_MACHINE CERT_CHAIN_POLICY_NT_AUTH -------- CERT_CHAIN_CONTEXT -------- ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40) ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000) SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40) SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000) CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0 Issuer: CN=ISSUECA, DC=domain, DC=local NotBefore: 22.05.2011 22:06 NotAfter: 21.05.2012 22:06 Subject: CN=Server01.domain.local Serial: blub SubjectAltName: Anderer Name:DS-Objekt-Guid=blub, DNS-Name=Server01.domain.local Template: DomainController blub Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) CRL 0f: Issuer: CN=ISSUECA, DC=domain, DC=local blub Delta CRL 11: Issuer: CN=ISSUECA, DC=domain, DC=local blub Application[0] = 1.3.6.1.5.5.7.3.2 Clientauthentifizierung Application[1] = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=1000040 Issuer: CN=ROOTCA, DC=domain, DC=local NotBefore: 22.05.2011 20:20 NotAfter: 22.05.2026 20:30 Subject: CN=ISSUECA, DC=domain, DC=local Serial: blub Template: SubCA blub Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40) Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000) CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0 Issuer: CN=ROOTCA, DC=domain, DC=local NotBefore: 19.05.2011 13:53 NotAfter: 19.05.2041 14:03 Subject: CN=ROOTCA, DC=domain, DC=local Serial: blub blub Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4) Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) Exclude leaf cert: blub Full chain: blub Issuer: CN=ISSUECA, DC=domain, DC=local NotBefore: 22.05.2011 22:06 NotAfter: 21.05.2012 22:06 Subject: CN=Server01.domain.local Serial: blub SubjectAltName: Anderer Name:DS-Objekt-Guid=blub, DNS-Name=Server01.domain.local Template: DomainController blub Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613) ------------------------------------ Sperrungsüberprüfung übersprungen -- Server ist offline 1 KDC-Zertifikate für Server01 Zitieren Link zu diesem Kommentar
steppe 10 Geschrieben 14. Juni 2011 Autor Melden Teilen Geschrieben 14. Juni 2011 Ok. Nur ums Thema abzuschließen. Es ist die fehlende Sperrliste. Warum er dann nicht die aus der AD nimmt ist mir zwar ein Rätsel aber gut. Test: ip über hosts datei eingetragen und auf CA zeigen lassen certutil -dcinfo verify ausgeführt Deutlich weniger Fehler ;). Ich monitore das nun auf der einen Maschine. Sollte aber sich damit erledigt haben. Grüße Stephan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.