Jump to content

Zert. Sperrprüfung konnte nicht durchgeführt werden


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Folgendes Problem habe ich mit einem selbst erstellten Zert. für RDP-Verbindungen. Der RDP-Client kann unter der angegebenen URL offensichtlich keine Sperrliste finden (zumindest interpretiere ich die Meldung so).

Rufe ich den Pfad mit einem Browser auf, kann ich eine CRL-Datei herunterladen.

Konfiguriert wurde die Vorlage wie folgt:

 

Vorlageinfo:

Vorlagenanzeigename: Computer-v1.1(RDP)
Objektkennung: 1.3.6.1.4.1.311.21.8.13645222.10093887.13977273.6323328.12774183.61.4996142.16601744
Typ des Antragstellers: Computer
Maximale Versionsnummer: 100

 

Die Zertifikateigenschaften (PS: Get-ChildItem Cert:\LocalMachine\Root\ | where{$_.Subject -like "*RDP*"}):

Subject      : CN=SVR-RDS-BROKER, OU=RDS-Server, OU=SBSServers, OU=Computers, OU=MyBusiness, DC=local, DC=domain
Issuer       : CN=Enterprise Certificate Authority, DC=domain, DC=local
Thumbprint   : A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
FriendlyName : RDP-Zertifikat
NotBefore    : 29.07.2022 10:25:06
NotAfter     : 28.07.2025 10:25:06
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid,
               System.Security.Cryptography.Oid...}

 

Allerdings liefert mir der PS-Befehl 2 Zertifikate als Ergebnis, die identisch sind. Kann es daran liegen?

Ich stehe irgendwie auf dem Schlauch und bin für jede konstr. Hilfe dankbar. Sollten noch Infos fehlen, so liefere ich diese gerne nach.

 

11-Remotedesktopverbindung.png

22-Remotedesktopverbindung.png

Link zu diesem Kommentar
vor einer Stunde schrieb tesso:

Das Datum sagt was anderes (2019 ist nicht soooo dicht an Q3 '22)

Entweder läuft die Aktualisierung nicht oder wie Norbert auch schon bemerkte landen die Aktualisierungen woanders.

So isses. Die Aktualisierung schlägt fehl:

"Der Verzeichnisname ist ungültig. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)"

Die Sperrliste landet hier: C:\Windows\System32\CertSrv\CertEnroll

Die darin enthaltenen CRLs sind aktuell, allerdings scheitere ich bei der Umsetzung, den Zugriff über die certsrv zu verwalten, wie hier beschrieben: https://www.gradenegger.eu/?p=828

Will ich die CRLs neu veröffentlichen, erhalte ich wieder die Fehlermeldung von oben. Per UNC ist die Freigabe erreichbar.

 

 

11 - SVR-ISSUINGCA.png

Link zu diesem Kommentar

Autschn. ;) Ich würd das mal grade ziehen. Theoretisch ist der UNC Pfad da schon korrekt, vorausgesetzt die CA-Maschine hat ma Zielort auch Schreibrechte. Und File schreibt man natürlich nicht in die CDP Erweiterung. ;) Wo liegt denn der UNC Pfad? Direkt auf deiner CA? Wohin zeigt der Webserver? Auf c:\windows\system32\certsrv\Certenroll?

Link zu diesem Kommentar
vor 1 Stunde schrieb NorbertFe:

Autschn. ;) Ich würd das mal grade ziehen. Theoretisch ist der UNC Pfad da schon korrekt, vorausgesetzt die CA-Maschine hat ma Zielort auch Schreibrechte. Und File schreibt man natürlich nicht in die CDP Erweiterung. ;) Wo liegt denn der UNC Pfad? Direkt auf deiner CA? Wohin zeigt der Webserver? Auf c:\windows\system32\certsrv\Certenroll?

Danke für deine Tipps, die Probleme wurden behoben. Keine Ahnung, warum die Präfixe file:// in der Konfig standen. Nach dem Geradebiegen des Pfades gibt es keine CRL-Warnung mehr. Das ist alles nukular...

Link zu diesem Kommentar

Moin,

 

vor 4 Stunden schrieb d-w:

In der CA werden per default die Sperrliste alle 2 Wochen und die Deltasperrliste tgl. veröffentlicht.

wow, wieviel sperrt ihr denn so, dass ihr solche Intervalle braucht? Oder um Jans Frage noch mal zu stellen: Wozu dient denn die CA? Wenn sie wichtig ist (darauf würde das CRL-Intervall hindeuten), dann solltet ihr noch mal dringend über das Design und die Details der Implementierung nachdenken. Wenn sie nicht wichtig ist (darauf deutet hin, dass ihr drei Jahre lang nicht gemerkt habt, dass die CRL nicht wirksam aktualisiert wird), dann solltet ihr sie vielleicht abschaffen - ernst gemeint, denn eine schlecht betriebene CA ist ein Risiko.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...