dr_wahnsinnig 10 Geschrieben 20. Januar 2023 Melden Teilen Geschrieben 20. Januar 2023 Moin liebes Forum, ich verzweifle gerade daran, eine CRL auf einer CA zu aktualisieren. Gestern sind die CRLs von beiden Locations abgelaufen und der Zertifikatsdienst hat seinen Dienst verweigert. Ich habe dann von der offline CA eine neue erstellt und in die online CA importiert und veröffentlicht (für LDAP). Seitdem startet auch der Zertifikatsdienst auch wieder 😅 Jetzt habe ich noch eine abgelaufene CRL von der zweiten Location (HTTP), die ich ums verrecken nicht aktualisiert bekomme. Hat jemand einen Tipp für mich, wo ich da ansetzen muss? Viele Grüße Andy Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 20. Januar 2023 Melden Teilen Geschrieben 20. Januar 2023 vor 8 Minuten schrieb dr_wahnsinnig: Jetzt habe ich noch eine abgelaufene CRL von der zweiten Location (HTTP), die ich ums verrecken nicht aktualisiert bekomme. Ja, da weiß man natürlich sofort, wo das Problem ist. ;) Normalerweise kopiert man die .crl (aktuelle) Datei dann dorthin, wo der http Pfad hinzeigt. Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 20. Januar 2023 Melden Teilen Geschrieben 20. Januar 2023 Hi, zunächst: Veröffentliche bitte nichts via LDAP. Das unterstützt außer Windows selbst niemand. Die Diese Distribution Points solltest Du au den Zertifikaten entfernen. Zumal Offline-Root-CA die eh nicht ohne weiteres aktualisieren kann. Denn sie ist kein Domain member. Der Distribution Point in den ausgestellten SUB-CA-Zertifikat muss auf einen HTTP-Server zeigen, der erreichbar ist. Auch sollte die CRL-Gültigkeit der ROOT-CA möglichst lang sein, da man eine SUB-CA eher selten zurückzieht. Ansonsten musst Du die Offline-Root regelmäßig einschalten, die CRL aktualisieren und auf den funktionsfähigen Webserver kopieren. Ein wenig hängt das alles auch von den Sicherheitsanforderungen ab. Natürlich könnte man den Webserver auf der Offline-Root-CA platzieren und eingeschaltet lassen... Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 20. Januar 2023 Melden Teilen Geschrieben 20. Januar 2023 vor 3 Minuten schrieb zahni: Offline-Root-CA platzieren und eingeschaltet lassen... Dann wäre sie aber online, auch wenn man den CA Service stoppen würde. Und es geht bei Offline Root ja immer darum, dass sie NICHT kompromittiert werden kann, weil sie offline ist. ;) Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 20. Januar 2023 Melden Teilen Geschrieben 20. Januar 2023 Moin, ich interpretiere die drei Punke am Ende von Zahnis Satz als Sarkasmus im Sinne von "... aber damit würde man das Konzept zerstören". @dr_wahnsinnig wofür und in welchem Umfang wird die PKI denn verwendet? Wenn sie wichtiger ist, wäre meine Empfehlung, sie gemeinsam mit jemandem, der sich auskennt, neu zu machen. Das ist typischerweise ein Aufwand von 1-3 bezahlten Tagen. Gruß, Nils Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 20. Januar 2023 Melden Teilen Geschrieben 20. Januar 2023 vor 24 Minuten schrieb NilsK: wofür und in welchem Umfang wird die PKI denn verwendet? Wenn sie wichtiger ist, wäre meine Empfehlung, sie gemeinsam mit jemandem, der sich auskennt, neu zu machen. Das ist typischerweise ein Aufwand von 1-3 bezahlten Ich und Norbert könnten da auch einen Spezialisten empfehlen... 1 Zitieren Link zu diesem Kommentar
dr_wahnsinnig 10 Geschrieben 20. Januar 2023 Autor Melden Teilen Geschrieben 20. Januar 2023 (bearbeitet) vor 23 Minuten schrieb zahni: Ich und Norbert könnten da auch einen Spezialisten empfehlen... Moin, wahrscheinlich den Nils, richtig? Die PKI ist für eine Citrix-Umgebung, die eben Zertifikate für die VDIs und die Benutzer ausgibt. Die CRLs liegen alle an der selben Stelle. für die iCA sind auch beide Locations aktuell, für die rCA eben nicht die zweite Location (siehe Anhang). Aktuell habe ich auch keine Probleme mit der Zertifikatsverteilung. Mich stört nur die abgelaufene CRL und dass ich sie eben nicht verlängern kann. Gruß Andy bearbeitet 20. Januar 2023 von dr_wahnsinnig Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 20. Januar 2023 Melden Teilen Geschrieben 20. Januar 2023 (bearbeitet) Moin, dann wäre eine konkrete Fehlermeldung evtl. hilfreicher als die vermutlich nicht vom System stammende Aussage vor einer Stunde schrieb dr_wahnsinnig: die ich ums verrecken nicht aktualisiert bekomme Wo du typischerweise ansetzen musst, hat dir Norbert oben beantwortet. Wenn das nicht hilft, kannst du gern weitere konkrete Fragen stellen. Gruß, Nils PS. möglicherweise möchtest du den Namen der Firma aus dem Screenshot entfernen. bearbeitet 20. Januar 2023 von NilsK Zitieren Link zu diesem Kommentar
dr_wahnsinnig 10 Geschrieben 20. Januar 2023 Autor Melden Teilen Geschrieben 20. Januar 2023 vor 7 Minuten schrieb NilsK: PS. möglicherweise möchtest du den Namen der Firma aus dem Screenshot entfernen. Erledigt, danke! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.