Jump to content

Zert. Sperrprüfung konnte nicht durchgeführt werden


Recommended Posts

Folgendes Problem habe ich mit einem selbst erstellten Zert. für RDP-Verbindungen. Der RDP-Client kann unter der angegebenen URL offensichtlich keine Sperrliste finden (zumindest interpretiere ich die Meldung so).

Rufe ich den Pfad mit einem Browser auf, kann ich eine CRL-Datei herunterladen.

Konfiguriert wurde die Vorlage wie folgt:

 

Vorlageinfo:

Vorlagenanzeigename: Computer-v1.1(RDP)
Objektkennung: 1.3.6.1.4.1.311.21.8.13645222.10093887.13977273.6323328.12774183.61.4996142.16601744
Typ des Antragstellers: Computer
Maximale Versionsnummer: 100

 

Die Zertifikateigenschaften (PS: Get-ChildItem Cert:\LocalMachine\Root\ | where{$_.Subject -like "*RDP*"}):

Subject      : CN=SVR-RDS-BROKER, OU=RDS-Server, OU=SBSServers, OU=Computers, OU=MyBusiness, DC=local, DC=domain
Issuer       : CN=Enterprise Certificate Authority, DC=domain, DC=local
Thumbprint   : A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
FriendlyName : RDP-Zertifikat
NotBefore    : 29.07.2022 10:25:06
NotAfter     : 28.07.2025 10:25:06
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid,
               System.Security.Cryptography.Oid...}

 

Allerdings liefert mir der PS-Befehl 2 Zertifikate als Ergebnis, die identisch sind. Kann es daran liegen?

Ich stehe irgendwie auf dem Schlauch und bin für jede konstr. Hilfe dankbar. Sollten noch Infos fehlen, so liefere ich diese gerne nach.

 

11-Remotedesktopverbindung.png

22-Remotedesktopverbindung.png

Link to comment
vor einer Stunde schrieb tesso:

Ist die crl erreichbar und aktuell?

Erreichbar ist sie, allerdings sehe ich in der CRL diese Infos.

Blöde Frage - wie behebe ich das oder muss das so aussehen? In der CA werden per default die Sperrliste alle 2 Wochen und die Deltasperrliste tgl. veröffentlicht.

 

Zertifikatssperrliste.png

Edited by d-w
Link to comment
vor einer Stunde schrieb tesso:

Das Datum sagt was anderes (2019 ist nicht soooo dicht an Q3 '22)

Entweder läuft die Aktualisierung nicht oder wie Norbert auch schon bemerkte landen die Aktualisierungen woanders.

So isses. Die Aktualisierung schlägt fehl:

"Der Verzeichnisname ist ungültig. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)"

Die Sperrliste landet hier: C:\Windows\System32\CertSrv\CertEnroll

Die darin enthaltenen CRLs sind aktuell, allerdings scheitere ich bei der Umsetzung, den Zugriff über die certsrv zu verwalten, wie hier beschrieben: https://www.gradenegger.eu/?p=828

Will ich die CRLs neu veröffentlichen, erhalte ich wieder die Fehlermeldung von oben. Per UNC ist die Freigabe erreichbar.

 

 

11 - SVR-ISSUINGCA.png

Link to comment

Autschn. ;) Ich würd das mal grade ziehen. Theoretisch ist der UNC Pfad da schon korrekt, vorausgesetzt die CA-Maschine hat ma Zielort auch Schreibrechte. Und File schreibt man natürlich nicht in die CDP Erweiterung. ;) Wo liegt denn der UNC Pfad? Direkt auf deiner CA? Wohin zeigt der Webserver? Auf c:\windows\system32\certsrv\Certenroll?

Link to comment
vor 1 Stunde schrieb NorbertFe:

Autschn. ;) Ich würd das mal grade ziehen. Theoretisch ist der UNC Pfad da schon korrekt, vorausgesetzt die CA-Maschine hat ma Zielort auch Schreibrechte. Und File schreibt man natürlich nicht in die CDP Erweiterung. ;) Wo liegt denn der UNC Pfad? Direkt auf deiner CA? Wohin zeigt der Webserver? Auf c:\windows\system32\certsrv\Certenroll?

Danke für deine Tipps, die Probleme wurden behoben. Keine Ahnung, warum die Präfixe file:// in der Konfig standen. Nach dem Geradebiegen des Pfades gibt es keine CRL-Warnung mehr. Das ist alles nukular...

Link to comment

Moin,

 

vor 4 Stunden schrieb d-w:

In der CA werden per default die Sperrliste alle 2 Wochen und die Deltasperrliste tgl. veröffentlicht.

wow, wieviel sperrt ihr denn so, dass ihr solche Intervalle braucht? Oder um Jans Frage noch mal zu stellen: Wozu dient denn die CA? Wenn sie wichtig ist (darauf würde das CRL-Intervall hindeuten), dann solltet ihr noch mal dringend über das Design und die Details der Implementierung nachdenken. Wenn sie nicht wichtig ist (darauf deutet hin, dass ihr drei Jahre lang nicht gemerkt habt, dass die CRL nicht wirksam aktualisiert wird), dann solltet ihr sie vielleicht abschaffen - ernst gemeint, denn eine schlecht betriebene CA ist ein Risiko.

 

Gruß, Nils

 

  • Like 1
Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...