StefanWe 14 Geschrieben 28. März Melden Geschrieben 28. März Hallo, ich habe hier im Entra CBA konfiguriert, welches auch funktioniert, solange ich keine Sperrlistenprüfung aktiviere. Grundsätzlich ist die Sperrliste in meiner PKI konfiguriert und von extern erreichbar und downloadbar. Windows meldet hier auch keine Probleme. Im Entra Portal unter Security->PKI habe ich eine PKI angelegt und dort mein Root Zertifikat hochgeladen. Auf der Root, habe ich die URL für die Sperrliste und Delta Sperrliste konfiguriert. Anschließend unter Authentication Methods die CBA aktiviert und dort das CRL Checking aktiviert und keine CA Ausnahme konfiguriert. Wenn sich nun ein User anmeldet erhält dieser die Fehlermeldung AADSTS2205018: Certificate Authority:'........' does not have a CRL specified and fails 'Require CRL validation' check. Ich habe den Fehler sowohl in meinem Lab (Root CA ist gleichzeitig die Issuing CA) als auch in einer anderen Umgebung, wo es eine Root CA und eine Issuing CA gibt. Nun die Frage, das Zertifikat der Root CA besitzt ja nie einen Verweis auf eine Sperrliste, erst die Issuing CA, bzw. die User Zertifikate. Nun die Frage, muss ich für die Root CA eine Ausnahme konfigurieren? oder woran kann es liegen?
zahni 588 Geschrieben 28. März Melden Geschrieben 28. März Eigentlich muss die CRL in den jeweiligen Server- bzw. User-Zertifikaten konfiguriert sein. Hier musst Du die Templates entsprechend anpassen. In das Cert einer SubCA gehört die Root CA und in die Root CA nichts, weil man die nicht sperren kann. Die kann man nur als nicht vertrauenswürdig einstufen.
StefanWe 14 Geschrieben 28. März Autor Melden Geschrieben 28. März Genau so hab ich’s ja. Nur entra meckert. Aber scheinbar ist es nen Cache Problem von entra. Jetzt scheint es zu gehen.
zahni 588 Geschrieben 28. März Melden Geschrieben 28. März (bearbeitet) vor einer Stunde schrieb StefanWe: Auf der Root, habe ich die URL für die Sperrliste und Delta Sperrliste konfiguriert. Das hast Du geschrieben... PS: Ist denn die CRL beim Hochladen angegeben worden? CRLs sollten übrigens per HTTP unverschlüsselt erreichbar sein, und zwar extern von den Cloud-Dienst. https://learn.microsoft.com/de-de/entra/identity/authentication/how-to-certificate-based-authentication https://www.gradenegger.eu/en/using-http-over-transport-layer-security-https-for-the-block-list-distribution-points/ bearbeitet 28. März von zahni
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden