PKI - OCSP GET-Request bringt Fehler 500

[bollo007 10]

Hallo zusammen,

 

 

 

ich habe mir eine kleine Testumgebung mit 2 Windows Servern aufgebaut um den Fehler unserer laufenden PKI zu reproduzieren.

 

 

 

Hier der Aufbau:

 

CA - 129.26.100.177

 

OCSP-Responder - 129.26.100.178

 

 

 

Der erste Versuch gestaltete sich folgendermaßen:

 

Ich habe mir die CA und den OCSP-Responder aufgesetzt und die AIA Einstellungen für den OCSP-Responder auf die Defaultwebsite geschickt (http://129.26.100.178/ocsp'>http://129.26.100.178/ocsp) und dann noch beide Include-Häckchen gesetzt.

 

Daraufhin habe ich mir testweise eine SSL-Seite (https://129.26.100.177/ssl.html'>https://129.26.100.177/ssl.html) erstellt und für diese Seite ein Zertifikat ausgestellt. Das Zertifikat habe ich dann der Seite zugeteilt um den Aufbau insgesamt zu testen.

 

Wenn ich dann in meinem Client (129.26.100.155) das CA-Zertifikat einbinde und die Seite https://129.26.100.177/ssl.html mit allen Browsern teste funktioniert alles wunderbar (auch mit Opera, der nur GET-Anfragen unterstützt).

 

Anschließend habe ich den OCSP-Responderdienst auf eine andere Seite gelegt:

 

 

• AIA-Einstellungen bei der CA geändert: http://129.26.100.178/
  

• neues Zertifikat für die SSL Seite ausgestellt und der Seite zugeteilt
  

• neue Seite im IIS-Manager des OCSP-Responders erstellt: "OCSP", Application Pool: OCSPISAPIAppPool, Physical Path: C:\Windows\SystemData\ocsp
  

• locationpath in der C:\Windows\System32\inetsrv\config\applicationHost.config von "Default Website\ocsp" auf "ocsp" geändert
  

• CA-Exchange Zertifikat revoked und CA neu gestartet und gewartet bis neues CA-Exchange Zertifikat ausgestellt wurde
  

Dann habe ich die neuen Einstellungen mit meinem Client getestet und es funktioniert mit allen Browsern, außer mit Opera, der nur GET-Anfragen zulässt. Daraufhin habe ich mir mal die Kommunikation zwischen dem Client und dem OCSP-Responder angeschaut und habe gesehen, dass ein "500 Internal Server Error" vom OCSP-Responder auf die GET Anfrage gesendet wird. (sh. Bild).

 

 

 

 

Der volle Request sieht dann so aus:

 

http://129.26.100.178/MEswSTBHMEUwQzAJBgUrDgMCGgUABBSAcp%2BfZfm6nUPToB0H62eK4AnDiQQUWnBwLVJhsayKvBq8piPduQydTy0CCmHu85EAAAAAACM%3D

 

Wenn ich diesen Request per Hand in Opera ein wenig modifiziere indem ich ein Verzeichnis miteinfüge, z.B. so:

 

http://129.26.100.178/XXX /MEswSTBHMEUwQzAJBgUrDgMCGgUABBSAcp%2BfZfm6nUPToB0H62eK4AnDiQQUWnBwLVJhsayKvBq8piPduQydTy0CCmHu85EAAAAAACM%3D

 

erhalte ich meinen Response über Opera.

 

Ich weiß nicht, wo der Fehler liegt. Sind es die IIS-Einstellungen oder muss ich beim Online-Responder was ändern, oder, oder, oder... Ich habe jetzt schon vieles ausprobiert und bin so langsam am Ende mit meinem Latein.

 

Wäre super, wenn mir jemand einen Denkanstoß in dei richtige Richtung geben kann, sodass ich mich nicht ständig im Kreis drehe. Falls ihr noch weitere Informationen bzgl. meiner Einstellungen benötigt, dann sagt bescheid und ich erteile gerne weitere Auskünfte.

 

Danke im Voraus.

[bollo007 10]

Hallo,

 

ich bekomme, wenn ich die "Failed Requests" am OCSP-Responder mittrace eine "Warning" bei "MODULE_SET_RESPONSE_ERROR_STATUS". Kann das Problem denn an dem IIS und den zugehörigen Schnittstellen liegen, oder was denkt ihr?