Jump to content

Windows Server 2019 - externe CA für SubCA


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

ich hab da mal wieder ein Thema wo mir der nötige letzte Schritt fehlt. Folgende Konstellation habe ich aufgebaut:

 

Windows Server 2019 als DC (sonst keine weiteren Rollen) anschließend habe ich die Zertifikatsdienste nachinstalliert und wollte eine SubCA dort einrichten, um Zertifikate abrufen zu können. Ich habe vorher offline per XCA mir eine mehrstufige CA aufgebaut, die eine CA und eine Issuer CA beinhaltet. Aus dem Setup-/Einrichtungsassistenten im Server Manager habe ich mir den Zertifikatsrequest gezogen und über XCA signiert (mit der Issuer CA) daraufhin habe ich das Zertifikat in meine Zertifikatsstelle im Windows importiert. Anschließend wollte ich den  Dienst starten und bekomme eine Fehlermeldung:

 

Fehler beim Erstellen bzw. Veröffentlichen des Zertifikats Request StatusCode: Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613)

 

Ok alles klar - ich habe dann nochmal alles neu eingerichtet und die CRLs über meinen IIS auf dem DC veröffentlicht: Ordner im IIS angelegt, Durchsuchbar gemacht, CRL abgelegt, los.... 

 

Leider bleibt der Fehler weiterhin bestehen. Hat jemand von euch gerade eine Idee wo ich falsch abgebogen bin? 

 

Mein Ansatz wäre jetzt:

- CRL wird als .crl erwartet ist jedoch ein .pem und somit nicht auffindbar

- URL ist in den Zertifikaten nicht korrekt gepflegt (Aufruf funktioniert)

- IIS ist nicht korrekt konfiguriert (Download der Datei erlauben?)

 

Vielen Dank für eure Hilfe. 

 

Gruß

Carsten

Link zu diesem Kommentar

Moin,

 

wozu das Ganze? Brauchst du die CA als solche oder nur Zertifikate? Falls es um die CA geht, dann mach es lieber richtig und installiere eine Windows-Root-CA und eine Windows-Sub-CA. Das ist am besten dokumentiert und du kannst sicher sein, dass das Nötige im CSR und den Zertifikaten steht.

 

Falls du nur Zertifikate brauchst, dann nimm selbstsignierte oder bau dir was Kleines mit OpenSSL oder so.

 

Gruß, Nils

 

 

 

Link zu diesem Kommentar
vor 12 Stunden schrieb NilsK:

Moin,

 

wozu das Ganze? Brauchst du die CA als solche oder nur Zertifikate? Falls es um die CA geht, dann mach es lieber richtig und installiere eine Windows-Root-CA und eine Windows-Sub-CA. Das ist am besten dokumentiert und du kannst sicher sein, dass das Nötige im CSR und den Zertifikaten steht.

 

Falls du nur Zertifikate brauchst, dann nimm selbstsignierte oder bau dir was Kleines mit OpenSSL oder so.

 

Gruß, Nils

 

 

 

 

Danke Nils.

Ich wollte mir damit eigentlich einen Server "sparen", um nur eine Windows CA Instanz zu haben aber dennoch eine mehrstufige PKI. Ich werde hergehen und die Eigenschaften mal anschauen wie @daabm erwähnt hatte. 

 

Ich werde hier kurz berichten, wenn ich weiß was hier fehlt. 

 

Danke euch

 

Gruß

Carstem

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...