Problme bei einer Enterprise PKI in einer Lab Umgebung

[Stefan3110 11]

Hallo,

Ich versuchte heute eine Enterprise PKI in einer Lab Umgebung aufzubauen. Aber ich bekam immer den folgenden Fehler:

 

Can not verify certification chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation because the revocation server was offline.

 

Meine Lab Umgebung besteht aus 3 Server. Einem DC einer Subordinate CA (Domain Member Server) und einer Root CA (kein Domain Member).

Nach dieser Anleitung http://mizitechinfo.wordpress.com/2013/08/31/step-by-step-deploying-an-enterprise-subordinate-ca-in-server-2012-r2-part-2/ ging ich vor.

Könnt Ihr mir helfen um das Problem zu beheben?

 

 

Danke für Eure Hilfe.

 

Viele Grüße

Stefan 

[Dunkelmann 96]

Moin,

 

hast Du eine Sperrliste der Root CA veröffentlicht und ist der Verteilungspunkt auch erreichbar?

[zahni 525]

Wenn Du einen Online-Responder konfigurier hast, muss der auch laufen.

[Stefan3110 11]

Ich bin strikt nach der Anleitung https://mizitechinfo.wordpress.com/2013/08/29/step-by-step-deploying-a-standalone-root-ca-in-server-2012-r2-part-1/ vorgegangen. Beim 2. Teil (Punkt 45) http://mizitechinfo.wordpress.com/2013/08/31/step-by-step-deploying-an-enterprise-subordinate-ca-in-server-2012-r2-part-2/ kommt der Fehler.

 

Der einzige Unterschied ist das ich eine andere Serveraufteilung habe.

 

RootCA kein Domain Mitglied

DC

SubCA

[Dunkelmann 96]

Hallo,

 

eine PKI durch nachklicken eines - in meinen Augen fragwürdigen - Tuturials nachzubauen ist sehr mutig.

 

Auch wenn es sich nur um eine Laborumgebung, solltest Du parallel auch am etwas theoretischen Hintergrund arbeiten.

http://social.technet.microsoft.com/wiki/contents/articles/2683.active-directory-certificate-services-learning-roadmap-community-edition.aspx

 

Als kleine Spielumgebung erscheint mir das TLG von MS deutlich potenter (und es funktioniert ;) )

http://technet.microsoft.com/en-us/library/hh831348.aspx

[Stefan3110 11]

Hallo Dunkelmann,

 

ich schaute mir die MS LAB Umgebung an und möchte sie ausprobieren.

 

Was mir noch nicht so ganz klar ist die URL Angabe in der CApolicy,inf in auf der RootCA

"URL=http://www.contoso.com/pki/cps.txt"

 

Was hat es mit der URL genau auf sich? Ist es okay wenn sie in der Testumgebung ins Leere zeigt URL=http:/meineDomain/pki/cps.txt?

[Dunkelmann 96]

Hallo,

 

das ist die url für das CPS (Certificate Practice Statement). In diesem Dokument werden die Richtlinien für den PKI Betrieb definiert.

 

Die Angabe ist optional und die url kann in einer Testumgebung ins Leere zeigen.

[Stefan3110 11]

Hallo Dunkelmann, 

 

danke für Deine gute Hilfe. Ich arbeitete das Lab heute durch. Es ging auch alles ohne Probleme. Nur wenn ich den Befehl "certutil -crl" bekomme ich immer wieder die Fehlermeldung:

 

CertUtil: -CRL command FAILED: 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

CertUtil: The parameter is incorrect.

 

Auf der Root CA ging es auch so, Nur kommt jetzt die Fehlermeldung auch auf der SUBCA in diesem Block

 

"To configure the AIA and CDP Settings

On APP1, as User1, right-click Windows PowerShell, click Run as Administrator. Click Yes to confirm that you want to run Windows PowerShell as an Administrator.

From Windows PowerShell run the following commands:

certutil -setreg CA\CRLPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%3%8.crl\n2:http://www.contoso.com/pki/%3%8.crl"

certutil -setreg CA\CACertPublicationURLs "2:http://www.contoso.com/pki/%1_%3%4.crt\n1:file://\\App1.corp.contoso.com\pki\%1_%3%4.crt"

Certutil -setreg CA\CRLPeriodUnits 2

Certutil -setreg CA\CRLPeriod "Weeks"

Certutil -setreg CA\CRLDeltaPeriodUnits 1

Certutil -setreg CA\CRLDeltaPeriod "Days"

Certutil -setreg CA\CRLOverlapPeriodUnits 12

Certutil -setreg CA\CRLOverlapPeriod "Hours"

Certutil -setreg CA\ValidityPeriodUnits 5

Certutil -setreg CA\ValidityPeriod "Years"

restart-service certsvc

certutil -crl "

[Dunkelmann 96]

Hallo,

 

schön, dass es bisher so gut läuft.

 

Der Fehler ist vermutlich ein typisches Codepage - Copy&Paste Problem. Manchmal passieren dabei komische Sachen. Eventuell kann es helfen, den Text zunächst in einen Editor, z.B. Notepad++, zu kopieren, zu prüfen und erst dann in die PowerShell einzufügen.

 

Den Befehl 'certutil -crl' solltest Du ansonsten problemlos manuell eingeben und erfolgreich ausführen können. (Die Gänsefüße am Ende gehören da übrigens nicht hin)

[Stefan3110 11]

Leider bekomme ich den Fehler auch wenn ich alles händisch eingebe.

Den Befehl für ich mit den Rechten eines AD Administrators aus.

[Dunkelmann 96]

Möglicherweise ist beim Copy&Paste etwas mehr schiefgelaufen.

'certutil -crl' veröffentlicht die Sperrliste. Wenn das fehlschlägt, könntest Du es auch mal über das MMC 'Zertifizierungsstelle' versuchen.

Dazu die CA öffnen, zu 'Gesperrte Zertifikate' navigieren und mit Rechtsklick - Alle Aufgaben - Veröffentlichen wählen

 

Troubleshooting:

Am Besten fängst Du auf der Root CA an, den Status und die korrekte Übernahme der Parameter nochmal zu prüfen.

 

MMC Zertifikate öffnen und in den Eigenschaften der Zertifizierungsstelle unter 'Erweiterungen' die 'Sperrlisten Verteilungspunkte' (CDP) und den 'Zugriff auf Stelleninformationen' (AIA) die Pfade auf Plausibilität prüfen. Wenn Du nicht genau weist, was dort stehen muss ist es natürlich etwas b***d. Aber Du könntest weigstens schauen, ob es dort offensichtlich verstümmelte oder unvollständige Pfadangaben gibt.

 

Hast Du alle Server genauso benannt, wie im TLG vorgegeben?

Läuft der Dienst? 'get-service certsvc'

Mit RegEdit folgenden Pfad öffnen: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\{CA-Name}]

Dann überprüfen, ob die mit 'certutil -setreg' gesetzten Parameter auch 1:1 übernommen wurden. Insbesondere die beiden urls für die Veröffentlichung des Zertifikats und der Sperrliste genau prüfen.

 

Edit: Bist Du auch Enterprise bzw. Organisations-Admin?

Edit2: (hatte noch nicht genügend Kaffee)

Manchmal macht die PowerShell auch komische Dinge bei Anführungszeichen in einer Deutschen Umgebung.

Du könntest alle 'certutil -setreg' Befehle auf dem Zielsystem in eine klassische Batchdatei (*.cmd) packen. 'Restart-Service certsvc' durch 'net stop certsvc' und 'net start certsvc' ersetzen, dann 'certutil -crl' und ein 'pause' ans Ende vom Batch setzen.

Das Batch dann als Administrator ausführen

bearbeitet 31. Januar 2014 von Dunkelmann

[Stefan3110 11]

Ich hatte gestern Abend es noch mal den händischen Weg gegangen über die Konsole und Veröffentlichen. Dies klappte auch ohne Probleme. Darauf kam ich nach dem ich Googel anwarf um zu schauen was 'ertutil -crl' genau macht. 

 

Aber bei der Ausführung über Powershell bekam ich immer wieder die oben beschriebe Fehlermeldung. Auch wenn ich alles eingab (ohne Copy and Paste). 

 

Ich führte alles als mit dem Enterprise Domain Admin aus. In der Regedit ist auch alles richtig gesetzt.

[Stefan3110 11]

Ist es möglich mit der Subordinate CA auch Web Zertifikate für eine andere Domain auszustellen?

Intern nutze ich lab.test.com und extern meineDomain.de . Gerne möchte ich mit der Subordinate CA die internen Zertifikate für die Server erstellen. Für den Zugriff von außen möchte ich Zertifikate *.meineDomain.de erstellen und den Servern für die URL mitgeben.

Ich weiß dass immer noch der rote Balken im Browser angezeigt wird, da das Zertifikat von keiner offiziellen Stelle ausgegeben wird. Aber welches Zertifikats muss ich bei einem externen Client einspielen so dass der Zertifikate mit der URL *. meineDomain.de von meiner internen Subordinate CA vertraut?

 

Danke für die gute und schnelle Hilfe.

 

Lg und ein schönes Wochenende

Stefan

[Dunkelmann 96]

Hallo,

 

grundsätzlich ist das kein Problem. Du kannst über Deine PKI Zertifikate ausstellen für wen Du möchtest.

 

Der Client muss Deiner Root CA vertrauen. Dadurch sind alle Abkömmlinge automatisch auch vertrauenswürdig.

Du musst das Root Zertifikat in den Speicher für 'Vertrauenwürdige Stammzertifirungsstellen' importieren. Machst Du es im Computerkontext, gilt es für alle Benutzer des Clients, machst Du es im Benutzerkontext, gilt es nur für den aktuellen Benutzer. In einer fremden Domäne kannst Du das Root Zertifikat auch per GPO verteilen lassen.

 

Zusätzlich müssen die Sperrlisten am Client verfügbar sein. Bei dem TLG Beispiel bedeutet es, dass 'www.contoso.com/pki' im simulierten Internet - oder wo auch immer der Client sich gerade befindet - verfügbar sein muss.

 

Falls Du tiefer in das Thema einsteigen möchtest, empfehle ich Dir 'Brian Komar - PKI And Certificate Security'

[Stefan3110 11]

Danke Dunkelmann für Deine Hilfe.

Ich fand bei Amazon das Buch von Brain Komar für Server 2008 R2 aber leider noch sehr teuer.