Jump to content
RobPop

Zertifizierungsstellen Fehler Sperrliste - CRYPT_E_NO_REVOCATION_CHECK

Empfohlene Beiträge

Hallo,

 

Ich habe eine Offline-Root-Ca und eine Sub-Ca nun wollte ich wieder mal das Zertifizierungsstellenzertifikat für die Sub-CA erneuern, wie schon des Öfteren in der Vergangenheit.

Leider bekomme ich nun den oben genannten Fehler.

Beide Virtuelle Maschinen benutzen das Betriebssystem Windows Server 2012 R2. Die Root-Ca ist nicht in der Domäne, die Sub-Ca hingegen schon.

 

Folgendermaßen bin ich vorgegangen -> Zertifizierungsstellenzertifikat erneuern -> C:\Windows\System32\certsrv\CertEnroll\*.crt zur Offline-Root-Ca kopiert ->Auf der Root-Ca dann eine neue Anforderung eingerichtet -> Dann die Anforderung ausgestellt -> Dann das erstellte Zertifikat exportiert ->

Dann das Zertifikat bei Sub-Ca in “Vertrauenswürdige Stammzertifizierungsstellen” importiert -> Dann in der Zertifizierungsstelle installiert -> Da kam dann der Fehler mit CRYP_E_NO_REVOCATON_CHECK bekommen.

Dazu muss ich sagen ich habe vorher bei der Root-Ca die ValidityPeriodUnits REG_DWORD  auf 5 gestellt.

Unter PKIVIEW.msc werden Fehler angezeigt und zwar folgende:

- Zertifizierungsstellenzertifikat: Sperrstatus unbekannt

- AIA Speicherort#1: Download nicht möglich

- Speicherort für Sperrlistenverteilungspunkte#1: Download nicht möglich

Wäre super wenn mir jemand hierbei weiterhelfen könnte.

Gruß

Rob

bearbeitet von RobPop

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

vermutlich hast du für AIA (Speicherort für Informationen über die CA) und CRL (Zertifikatssperrliste) Werte angegeben, die ungültig sind. Jetzt  gibt es keinen Pfad, an dem ein Client diese Daten abrufen kann.

Was steht  denn in den vorhandenen Zertifikaten und den verwendeten Zertifikatsvorlagen dazu drin?

 

Und auf was für "5" hast du die Gültigkeit umgestellt? Jahre? Tage? ...? Wie lang ist denn das Root-Zertifikat noch gültig?

 

Gruß, Nils

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo Nils,

 

erstmal Dank für deine Hilfe.

Ich bin leider kein Zertifikatsprofi, ich denke ich habe keine Einstellung in den Zertifikatssperrlisten getätigt, falls ja dann unbewusst.

Ich habe die Root-CA von einem Jahr auf 5 Jahre abgeändert.

 

Erst mal sorry, ich weiß nicht genau wo ich nachsehen soll.

Welche Zertifikate und Zertifikatsvorlagen meinst du, die in der Sub-CA?

Und welche Informationen aus den Zertifikaten benötigst du?

Ich habe das nun schon ein paar mal probiert, jetzt habe eine menge Zertifikate. Siehe:

 

Sub_CA.PNG

 

Ich habe komischerweise zwei Root-Zertifikate, eins läuft bi 28.02.2042 und das andere bis 26.02.2041.

 

Gruß

Robert

 

bearbeitet von RobPop

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

ja ... leider ist eine Windows-PKI auch mit aktuellen Betriebssystemen nicht leicht zu handhaben. Alles keine Technik, die undurchdringlich wäre, aber  leider unnötig kompliziert gemacht.

 

Anscheinend hast du da jetzt schon einiges rumprobiert. Da eine CA ein sicherheitskritisches System ist, rate ich davon ab, an der Stelle jetzt mit Forensupport weiter zu machen. Ein Dienstleister, der sich auskennt, sollte da mit vertretbarem Aufwand das Nötige tun können, ohne zusätzliche Risiken zu erzeugen.

 

Eine Root-CA auf fünf Jahre zu setzen, wäre keine gute Idee. Aber vielleicht ist das jetzt auch nur ein Missverständnis.

 

Gruß, Nils

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

 

ja ich weiß, aber bis Dato hat es immer geklappt. Bin da nach Schema F vorgegangen. Ich hätte von der Sub-CA und von der Root-CA noch ein Backup.

Meinst nicht das es vielleicht wieder klappen könnten wenn ich die Root-CA wieder auf ein Jahr zurücksetze? Die Laufzeit der Zertifikate für ein Jahr ist irgendwie zu wenig.

Oder würde es evtl. reichen die Root-CA auf einen vorherigen Snapshot zurückzusetzen?

 

Ich hatte ja 2 - Root-Zertifikate, jetzt habe ich das zweite Root-Zertifikat in das CertEnroll-Verzeichnis kopiert der Sub-CA kopiert und noch mal eine Zertifizierungsstellen-Erneuerung gemacht und siehe da ich habe in der PKI-View nur noch einen Fehler. Was könnte das für ein Fehler noch sein (Sperrstatus unbekannt)?

 

 

 

Gruß

Robert 

 

 

Unternehmens-PKI.PNG

bearbeitet von RobPop

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

siehst du, genau sowas meine ich. Dir fehlen Kenntnisse der Technik (was an sich kein Problem ist), und jetzt versuchst du aufs Geratewohl herum (und da ist das Problem). Sowas macht  man nicht mit einer zentralen Sicherheitskomponente.

 

Nimm es mir nicht übel, aber solche kritischen Systeme supporte ich nicht auf dieser Ebene in einem Forum.

 

Gruß, Nils

 

bearbeitet von NilsK

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

Werbepartner:



×