Jump to content
Sign in to follow this  
RobPop

Zertifizierungsstellen Fehler Sperrliste - CRYPT_E_NO_REVOCATION_CHECK

Recommended Posts

Hallo,

 

Ich habe eine Offline-Root-Ca und eine Sub-Ca nun wollte ich wieder mal das Zertifizierungsstellenzertifikat für die Sub-CA erneuern, wie schon des Öfteren in der Vergangenheit.

Leider bekomme ich nun den oben genannten Fehler.

Beide Virtuelle Maschinen benutzen das Betriebssystem Windows Server 2012 R2. Die Root-Ca ist nicht in der Domäne, die Sub-Ca hingegen schon.

 

Folgendermaßen bin ich vorgegangen -> Zertifizierungsstellenzertifikat erneuern -> C:\Windows\System32\certsrv\CertEnroll\*.crt zur Offline-Root-Ca kopiert ->Auf der Root-Ca dann eine neue Anforderung eingerichtet -> Dann die Anforderung ausgestellt -> Dann das erstellte Zertifikat exportiert ->

Dann das Zertifikat bei Sub-Ca in “Vertrauenswürdige Stammzertifizierungsstellen” importiert -> Dann in der Zertifizierungsstelle installiert -> Da kam dann der Fehler mit CRYP_E_NO_REVOCATON_CHECK bekommen.

Dazu muss ich sagen ich habe vorher bei der Root-Ca die ValidityPeriodUnits REG_DWORD  auf 5 gestellt.

Unter PKIVIEW.msc werden Fehler angezeigt und zwar folgende:

- Zertifizierungsstellenzertifikat: Sperrstatus unbekannt

- AIA Speicherort#1: Download nicht möglich

- Speicherort für Sperrlistenverteilungspunkte#1: Download nicht möglich

Wäre super wenn mir jemand hierbei weiterhelfen könnte.

Gruß

Rob

Edited by RobPop

Share this post


Link to post
Share on other sites

Moin,

 

vermutlich hast du für AIA (Speicherort für Informationen über die CA) und CRL (Zertifikatssperrliste) Werte angegeben, die ungültig sind. Jetzt  gibt es keinen Pfad, an dem ein Client diese Daten abrufen kann.

Was steht  denn in den vorhandenen Zertifikaten und den verwendeten Zertifikatsvorlagen dazu drin?

 

Und auf was für "5" hast du die Gültigkeit umgestellt? Jahre? Tage? ...? Wie lang ist denn das Root-Zertifikat noch gültig?

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Hallo Nils,

 

erstmal Dank für deine Hilfe.

Ich bin leider kein Zertifikatsprofi, ich denke ich habe keine Einstellung in den Zertifikatssperrlisten getätigt, falls ja dann unbewusst.

Ich habe die Root-CA von einem Jahr auf 5 Jahre abgeändert.

 

Erst mal sorry, ich weiß nicht genau wo ich nachsehen soll.

Welche Zertifikate und Zertifikatsvorlagen meinst du, die in der Sub-CA?

Und welche Informationen aus den Zertifikaten benötigst du?

Ich habe das nun schon ein paar mal probiert, jetzt habe eine menge Zertifikate. Siehe:

 

Sub_CA.PNG

 

Ich habe komischerweise zwei Root-Zertifikate, eins läuft bi 28.02.2042 und das andere bis 26.02.2041.

 

Gruß

Robert

 

Edited by RobPop

Share this post


Link to post
Share on other sites

Moin,

 

ja ... leider ist eine Windows-PKI auch mit aktuellen Betriebssystemen nicht leicht zu handhaben. Alles keine Technik, die undurchdringlich wäre, aber  leider unnötig kompliziert gemacht.

 

Anscheinend hast du da jetzt schon einiges rumprobiert. Da eine CA ein sicherheitskritisches System ist, rate ich davon ab, an der Stelle jetzt mit Forensupport weiter zu machen. Ein Dienstleister, der sich auskennt, sollte da mit vertretbarem Aufwand das Nötige tun können, ohne zusätzliche Risiken zu erzeugen.

 

Eine Root-CA auf fünf Jahre zu setzen, wäre keine gute Idee. Aber vielleicht ist das jetzt auch nur ein Missverständnis.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Hi,

 

ja ich weiß, aber bis Dato hat es immer geklappt. Bin da nach Schema F vorgegangen. Ich hätte von der Sub-CA und von der Root-CA noch ein Backup.

Meinst nicht das es vielleicht wieder klappen könnten wenn ich die Root-CA wieder auf ein Jahr zurücksetze? Die Laufzeit der Zertifikate für ein Jahr ist irgendwie zu wenig.

Oder würde es evtl. reichen die Root-CA auf einen vorherigen Snapshot zurückzusetzen?

 

Ich hatte ja 2 - Root-Zertifikate, jetzt habe ich das zweite Root-Zertifikat in das CertEnroll-Verzeichnis kopiert der Sub-CA kopiert und noch mal eine Zertifizierungsstellen-Erneuerung gemacht und siehe da ich habe in der PKI-View nur noch einen Fehler. Was könnte das für ein Fehler noch sein (Sperrstatus unbekannt)?

 

 

 

Gruß

Robert 

 

 

Unternehmens-PKI.PNG

Edited by RobPop

Share this post


Link to post
Share on other sites

Moin,

 

siehst du, genau sowas meine ich. Dir fehlen Kenntnisse der Technik (was an sich kein Problem ist), und jetzt versuchst du aufs Geratewohl herum (und da ist das Problem). Sowas macht  man nicht mit einer zentralen Sicherheitskomponente.

 

Nimm es mir nicht übel, aber solche kritischen Systeme supporte ich nicht auf dieser Ebene in einem Forum.

 

Gruß, Nils

 

Edited by NilsK

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...