Jump to content

es konnte keine sperrprüfung für das zertifikat durchgeführt werden


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ich hab da mal ein Problem!

Umgebung: 1xDC, 2xRDS, 1xExch > alles W2k12R2 aktueller Patchstand vom WE.

Es wurde eine RDS-Farm eingerichtet. Bekannterweise bekommt man, wenn der Verbindungsbroker die Sitzungen verschiebt, bei selbstsignierten Zertifikaten einen Warnhinweis. Lösung, PKI einrichten und ein Farm-Zertifikat erstellen. Gemacht getan (Den ganzen Trouble bis zu diesem Status, lasse ich erstmal weg). Ich habe in den Eigenschaften der CA, unter Erweiterungen, auch http + file zur Verteilung der Sperrlisten aktiviert ( Sperrlisten an diesem Ort veröffentlichen + In CDP-Erweiterung des ausgestellten Zertifikates einbeziehen + Deltasperrlisten an diesem Ort veröffentlichen aktiviert). Die beiden habe ich aktiviert, da ich unterschiedliche Clients habe, innerhalb und außerhalb der Domäne, per VPN Homeoffice und Roadwarrior. Ich teste im Moment mit einem W2K12R2 Client, dieser ist nicht in der Domäne. An dem W2K12R2 habe ich die Host-Datei angepasst > IP   Servername mit und ohne Domäne eingetragen. DNS funktioniert.

Der Zugriff auf die Sperrlisten per http + file ist möglich.

Per RDS bekomme ich die obige Meldung. Wird diese einfach bestätigt funktioniert alles einwandfrei.

Da PKI Neuland für mich ist, fehlen mir jetzt weitere Ansätze und in google habe ich nichts passendes gefunden zu dieser Meldung.

 

Vielen Danke für Eure Mühen.

 

Manuel

 

Link zu diesem Kommentar

Moin,

 

zwei typische Ursachen:

  1. Der Pfad ist für den Client, der das Zertifikat prüft, eben doch nicht erreichbar - Namensauflösung, Firewall, Berechtigungen.
  2. Die Sperrliste ist abgelaufen. 

Ist es der zweite Punkt, dann fehlt ein Prozess, der die jeweils aktuelle Sperrliste an den Veröffentlichungspunkt kopiert. Die Sperrlisten sollte man allerdings auch nur noch per http bereitstellen (auf einem Server, der intern und extern unter demselben URL erreichbar ist), nicht per Dateizugriff, weil das spätestens mit externen Clients (Home Office usw.) nicht funktioniert.

 

Ich empfehle das Rheinwerk-Buch zum Thema. Bei PKI kann man sehr viel falsch machen, Weiter-Weiter-Fertigstellen reicht praktisch nie aus.

 

Gruß, Nils

 

Link zu diesem Kommentar
  • 2 Wochen später...

Hallo Nils,

vielen Dank für deine Antwort.

Wenn ich folgenden Pfad im Browser eingebe, lädt er mit die Sperrliste herunter (nur intern, aus dem www nicht erreichbar).

 

http://server.domain/CertEnroll/BKANZ2-CA-1.crl

 

Diesen Pfad habe ich aus dem Zertifikat kopiert. Ist der Zugriff damit OK?

Kann ich den Pfad noch anderweitig testen?

 

Vielen Dank für die Hilfe.

 

Manuel

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...