Jump to content

Zertifikatsperrliste (CRL) aktualisieren

dr_wahnsinnig

Von dr_wahnsinnig
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

dr_wahnsinnig Community Regular

dr_wahnsinnig   10

Geschrieben
Geschrieben

Moin liebes Forum,

 

ich verzweifle gerade daran, eine CRL auf einer CA zu aktualisieren.

Gestern sind die CRLs von beiden Locations abgelaufen und der Zertifikatsdienst hat seinen Dienst verweigert.

Ich habe dann von der offline CA eine neue erstellt und in die online CA importiert und veröffentlicht (für LDAP).

Seitdem startet auch der Zertifikatsdienst auch wieder 😅

Jetzt habe ich noch eine abgelaufene CRL von der zweiten Location (HTTP), die ich ums verrecken nicht aktualisiert bekomme.

Hat jemand einen Tipp für mich, wo ich da ansetzen muss?

 

 

Viele Grüße

 

Andy

PKI CRL.png

NorbertFe Grand Master

NorbertFe   2.277

Geschrieben
Geschrieben
vor 8 Minuten schrieb dr_wahnsinnig:

Jetzt habe ich noch eine abgelaufene CRL von der zweiten Location (HTTP), die ich ums verrecken nicht aktualisiert bekomme.

Ja, da weiß man natürlich sofort, wo das Problem ist. ;)

Normalerweise kopiert man die .crl (aktuelle) Datei dann dorthin, wo der http Pfad hinzeigt.

zahni Grand Master

zahni   587

Geschrieben
Geschrieben

Hi,

 

zunächst: Veröffentliche bitte nichts via LDAP. Das unterstützt außer Windows selbst niemand. Die Diese Distribution Points solltest Du au den Zertifikaten entfernen. Zumal Offline-Root-CA die eh nicht ohne weiteres aktualisieren kann. Denn sie ist kein Domain member.

Der Distribution Point in den ausgestellten SUB-CA-Zertifikat muss auf einen HTTP-Server zeigen, der erreichbar ist. Auch sollte die CRL-Gültigkeit der ROOT-CA möglichst lang sein, da man eine SUB-CA eher selten zurückzieht.

Ansonsten musst Du die Offline-Root regelmäßig einschalten, die CRL aktualisieren und auf den funktionsfähigen Webserver kopieren.

Ein wenig hängt das alles auch von den Sicherheitsanforderungen ab. Natürlich könnte man den Webserver auf der Offline-Root-CA platzieren und eingeschaltet lassen...  

NorbertFe Grand Master

NorbertFe   2.277

Geschrieben
Geschrieben
vor 3 Minuten schrieb zahni:

Offline-Root-CA platzieren und eingeschaltet lassen... 

Dann wäre sie aber online, auch wenn man den CA Service stoppen würde. Und es geht bei Offline Root ja immer darum, dass sie NICHT kompromittiert werden kann, weil sie offline ist. ;)

NilsK Grand Master

NilsK   3.045

Geschrieben
Geschrieben

Moin,

 

ich interpretiere die drei Punke am Ende von Zahnis Satz als Sarkasmus im Sinne von "... aber damit würde man das Konzept zerstören". ;-)

 

@dr_wahnsinnig wofür und in welchem Umfang wird die PKI denn verwendet? Wenn sie wichtiger ist, wäre meine Empfehlung, sie gemeinsam mit jemandem, der sich auskennt, neu zu machen. Das ist typischerweise ein Aufwand von 1-3 bezahlten Tagen.

 

Gruß, Nils

 

zahni Grand Master

zahni   587

Geschrieben
Geschrieben
vor 24 Minuten schrieb NilsK:

wofür und in welchem Umfang wird die PKI denn verwendet? Wenn sie wichtiger ist, wäre meine Empfehlung, sie gemeinsam mit jemandem, der sich auskennt, neu zu machen. Das ist typischerweise ein Aufwand von 1-3 bezahlten

Ich und Norbert könnten da auch einen Spezialisten empfehlen...

  • Haha 1
dr_wahnsinnig Community Regular

dr_wahnsinnig   10

Geschrieben
  • Autor
Geschrieben (bearbeitet)
vor 23 Minuten schrieb zahni:

Ich und Norbert könnten da auch einen Spezialisten empfehlen...

Moin,

 

wahrscheinlich den Nils, richtig? ;-)

Die PKI ist für eine Citrix-Umgebung, die eben Zertifikate für die VDIs und die Benutzer ausgibt.

Die CRLs liegen alle an der selben Stelle. für die iCA sind auch beide Locations aktuell, für die rCA eben nicht die zweite Location (siehe Anhang).

Aktuell habe ich auch keine Probleme mit der Zertifikatsverteilung. Mich stört nur die abgelaufene CRL und dass ich sie eben nicht verlängern kann.

 

Gruß

Andy

 

PKI CRL iCA.jpeg

bearbeitet von dr_wahnsinnig
NilsK Grand Master

NilsK   3.045

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

dann wäre eine konkrete Fehlermeldung evtl. hilfreicher als die vermutlich nicht vom System stammende Aussage

vor einer Stunde schrieb dr_wahnsinnig:

die ich ums verrecken nicht aktualisiert bekomme

 

Wo du typischerweise ansetzen musst, hat dir Norbert oben beantwortet. Wenn das nicht hilft, kannst du gern weitere konkrete Fragen stellen.

 

Gruß, Nils

PS. möglicherweise möchtest du den Namen der Firma aus dem Screenshot entfernen.

bearbeitet von NilsK
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...