bouncer86 5 Geschrieben 24. Juni 2014 Melden Teilen Geschrieben 24. Juni 2014 Hallo, habt ihr ein kurzes knackiges Tutorial wie am besten die CRL Sperrlisten in einer zweistufigen PKI konfiguriert werden? Aktuell habe ich in meiner Testumgebung eine Standonline RootCA installiert. Hier habe ich dann den LDAP Pfad rausgenommen und nur einen http Pfad der von intern und extern auflösbar ist angegeben. Dann habe ich eine zweite Enterprise Intermediate CA installiert und das Zertifikat mir durch die RootCA signiert. Die RootCA heruntergefahren und gut gelassen. In der Intermediate CA hab ich den LDAP Pfad ebenfalls raus genommen und auch den gleichen http Pfad hinterlegt. So liegen nun 3 CRL Dateien auf dem Webserver. Doch trotzdem bekam ich jetzt nach einer Woche Leerlauf beim erstellen eines neuen Zertifikates die Fehlermeldung, dass der Sperrlistenserver Offline ist. Er ist aber erreichbar. er läuft sogar auf dem gleichen Server wie die CA. Letzte Woche ging es noch einwandfrei. Habe dann die Sperrlisten neu erstellt, brachte auch keine Besserung. Zudem die Frage was bedeuten die beiden Suffixe DeltaCRLAllowed und CRLNameSuffix ? Danke Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 24. Juni 2014 Melden Teilen Geschrieben 24. Juni 2014 Moin, ein ganz einfaches How To gibt es bei den Test Lab Guides: http://technet.microsoft.com/en-us/library/hh831348.aspx Liefert die Suchmaschine zu den beiden Parametern keine Ergebnisse? http://technet.microsoft.com/en-us/library/cc753296.aspx Bei Verwendung von Delta crl muss beim IIS zusätzlich double escaping erlaubt werden (wg. '*+.crl'). Mit 'pkiview.msc' lässt sich der Zustand einer PKI recht leicht prüfen. Zitieren Link zu diesem Kommentar
bouncer86 5 Geschrieben 26. Juni 2014 Autor Melden Teilen Geschrieben 26. Juni 2014 Wie sieht denn das CRLNameSuffix aus? Das Delta Suffix ist ja ein "+". Ist das CRLNameSuffix Pflicht? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 26. Juni 2014 Melden Teilen Geschrieben 26. Juni 2014 ...und als ergänzenden Hinweis: nutze auf der CA das Tool "pkiview.msc", um herauszufinden, welche URLs konkret als fehlerhaft gemeldet werden. Viele Grüße olc Zitieren Link zu diesem Kommentar
bouncer86 5 Geschrieben 4. Juli 2014 Autor Melden Teilen Geschrieben 4. Juli 2014 Danke für die Infos. Werft ihr die ldap Crl Liste eigentlich aus den Zertifikaten, oder lasst ihr sie drin? Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 4. Juli 2014 Melden Teilen Geschrieben 4. Juli 2014 So eine Frage lässt sich nicht pauschal beantworten. Ein seriöse PKI lässt sich nicht in einem Forum projektieren. Als eine mögliche Richtgröße könnten die Teilnehmer angesetzt werden: Sind nur oder fast nur Teilnehmer im LAN, kann eine Verteilung per LDAP sinnvoll sein. Die Sperrlisten werden über das AD repliziert und stehen damit ohne zusätzliche Infrastruktur an allen Standorten mit DC zur Verfügung. Hat ein Großteil der Teilnehmer keinen direkten Zugriff auf das LADP (z.Bsp.: Externe, VPN oder sonstige Geräte) bringt die Verteilung per LDAP nichts, da die Listen gar nicht abgerufen werden können. An dieser Stelle könnte man ansetzen und ggf. mehrere Policy-/Issuing-CA mit unterschiedlichen Konfigurationen betreiben. Buchtipp: Brian Komar - PKI & Certificate Securiry Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.