steppe 10 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 Hallo zusammen, ich habe ein (hoffentlich) kleines Problem mit der AIA Erweiterung. Ich habe die Installation und Konfiguration des Stamm- und Zwischenstellenzertifikats so vorgenommen, dass die CDP und AIA Erweiterung über einen HTTP Server abgerufen werden kann, damit auch Externe die Zertifikate überprüfen können. Ich sehe allerdings gerade dass die Namen der CDP und der AIA Erweiterung gleich sind. Gibts es eine Möglichkeit, diese einfach zu ändern oder muss ich sowohl das Zwischen- als auch das Stammcert neu erstellen ? Falls ja muss ich da was besonders beachten ? Grüße Stephan Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 Hi Stephan, was heißt "die Namen sind gleich"? Was meinst Du damit genau - hast Du die Verteilungspunkte inkl. der konkreten CER und CRL Dateien vollkommen gleich benannt, so daß kein Unterschied mehr zum Abruf existiert? Meinst Du in Bezug auf AIA und CDP oder in Bezug auf die Root und Intermediate CAs? Verändern kannst Du ein Zertifikat nachträglich nicht mehr, Du müßtest also (falls notwendig) neue Zertifikate erstellen. Du benötigst dafür *keinen* neuen privaten Schlüssel, Du kannst lediglich das Zertifikat mit den korrekten Verteilungspunkten neu erstellen. BTW: Im Root / Stamm Zertifikat sollte keine AIA und keine CDP stehen. Erst ab der ersten untergeordneten CA (bzw. deren Zertifikat), sollten AIA und CDP zur Verfügung stehen. Viele Grüße olc Zitieren Link zu diesem Kommentar
steppe 10 Geschrieben 7. Juli 2011 Autor Melden Teilen Geschrieben 7. Juli 2011 Hallo olc, ja leider :(. Die Anleitung hat mich irgendwie verwirrt ;). Die CA ist aber noch nicht produktiv bis auf die Domänencontroller Certs und ein paar Spielcerts von mir. Offline CA hochfahren AIA erweiterung anpassen Zwischen CA erneuern (wie?) Zwischen CA AIA und CRL anpassen Ausgestellte Zertifikate erneuern oder ? Danke und Grüße Stephan Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 Hi, ja leider :(. Ich habe *zwei* mögliche Szenarien genannt - die Antwort "ja" hilft also nicht wirklich weiter... ;) Offline CA hochfahren AIA erweiterung anpassen AIA und CDP anpassen in der CAPolicy.inf Datei. Beides auf "empty" setzen und danach Root CA Zertifikat erneuern: [AuthorityInformationAccess] Empty=True [CRLDistributionPoint] Empty=True Zwischen CA erneuern (wie?) Zwischen CA AIA und CRL anpassen *Zuerst* die AIA und CDPs auf der Root CA anpassen, danach erst das Zertifikat der Zwischenzertifizierungsstelle erneuern. Zertifikat erneuern ohne den privaten Schüssel zu erneuern siehe: Renew a subordinate certification authority: Public Key Ausgestellte Zertifikate erneuern Korrekt. Vorher prüfen, ob die AIA und CDP nun korrekt ist / sind. Am besten Du entfernst erst einmal alle Templates von der CA, so daß nicht zwischenzeitlich irgend etwas ausgegeben wird. BTW: Eine Testumgebung ist mehr als sinnvoll, Du operierst hier im Moment ja scheinbar am offenen Herzen... Viele Grüße olc Zitieren Link zu diesem Kommentar
steppe 10 Geschrieben 7. Juli 2011 Autor Melden Teilen Geschrieben 7. Juli 2011 Hallo olc, ja die Namen sind gleich (die Verteilungspunkte inkl. der konkreten CER und CRL Dateien vollkommen gleich benannt). Die Frage versteh ich leider nicht ganz :) Meinst Du in Bezug auf AIA und CDP oder in Bezug auf die Root und Intermediate CAs? Eine Sperrliste hat die ROOTCA nicht. Wo kann ich einsehen ob sie eine AIA Erweiterung eingetragen hat ? Dann müsste ich nur das Zwischencert aktualisieren. Ich werds auch erst nach meinem Urlaub machen. An einem Samstag ;) Grüße Stephan Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 Hi Stephan, ich meine es nicht böse wenn ich sage, daß Du Dich noch einmal ein wenig mehr in das Thema PKI einlesen solltest. :) Brian Komar hat da beispielsweise ein recht gutes Buch veräffentlich. :) Die AIA und CDP steht jeweils im Zertifikat, egal ob Root CA, Intermediate / Issuing CA oder Enduser. Wenn Du Dir das Zertifikat der Root CA anschaust und keine AIA und CDP darin findest, mußt Du das Root CA Zertifikat nicht erneuern. Das heißt der Teil der CAPolicy.inf fällt weg. Bleiben also noch Intermdiate / Issuing CA und Enduser. Um das Intermdiate / Issuing CA Zertifikat zu erneuern, mußt Du in der CA Konfiguration der Root CA die Verteilungspunkte anpassen. Danach stellst Du dann wie im Artikel beschrieben ein neues Intermdiate / Issuing CA Zertifikat aus. Danach änderst Du auf der Intermdiate / Issuing CA die Verteilungspunkte in der CA Konfiguration und stellst neue Endbenutzer Zertifikate aus. P.S.: Bei Dir handelt es sich um eine "Issuing CA", keine "Intermediate CA", es sei denn Du hättest 3 Ebenen der CA Hierarchie ohne Endbenutzer. Viele Grüße olc Zitieren Link zu diesem Kommentar
steppe 10 Geschrieben 7. Juli 2011 Autor Melden Teilen Geschrieben 7. Juli 2011 Hallo olc, da hast du wohl recht. Man sollte nicht Sonntag Abends eine PKI aufbauen ;) Ich habe das Buch von Galileo Computing - Windows 2008 R2. Hätte ich genauer hingeschaut wäre das nicht passiert. Nur es stand dran "analog" einrichten zur CRL, dass das nicht die gleiche Datei sein kann hätt mir klar sein sollen. Reicht es bei den Endusern (in dem Fall nur DCs) wenn ich die Certs widerrufe und auf allen DCs ein gpupdate /force mache ? Genau. Meine PKI ist zweistufig. Vielen Dank für deine Hilfe .. mal wieder :) Grüße Stephan edit: Es betrifft nur die ISSUECA. Na gottseidank :) ROOTCA hab ich "richtig" gemacht. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 Hi Stephan, gern. :) Genau, nachdem Du das Issuing CA Zertifikat mit dem korrekten AIA und CDP Verteilungspunkt angepaßt und die Issuing CA Konfiguration für von der Issuing CA ausgestellte Zertifikate abgepaßt hast, kannst Du entweder die alten Zertifikate zurückziehen. Alternativ (und das halte ich in Deinem Szenario für sinnvoller) kannst Du das Autoenrollment prüfen, ob "alle Haken" in der entsprechenden Gruppenrichtlinie gesetzt sind und danach über ein "Reenroll all certificate holders" das Reenrollment auslösen. Wenn die DCs selbst noch Windows Server 2003 sind, mußt Du die DCs dann (nacheinander) neu starten. Sind es Windows Server 2008 und aufwärts DCs, übernehmen sie die Änderung im Laufbetrieb. Kann etwas dauern, also keine Hektik. ;) Siehe dazu - Configure Autoenrollment in Group Policy (ich würde nur nicht unbedingt die Default Domain Policy nehmen, kommt auf Deine derzeitige Konfiguration an - wichtig sind die beiden Haken ganz unten im Artikel) - Re-enroll all certificate holders: Public Key Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.