Ortlieb 10 Geschrieben 21. Oktober 2004 Melden Geschrieben 21. Oktober 2004 Hallo, ich habe eine Frage zu den Zertifikatsdiensten, im speziellen zu den Veröffentlichungspunkten der Offline Root CA. Ich möchte die AIA und CDP im Rootzertifikat unterdrücken, weil ja die CA vom Netz genommen wird. Die Chaining Engine stimmt sonst nicht, wenn das Zertifikat für die Issuing CA ausgestellt wird. MS sagt selber (Microsoft Windows Server 2003 PKI and Certificate Security): "Wenn Sie verhindern wollen, dass die Erweiterungen AIA und CDP ins Stammzertifizierungsstellenzertifikat aufgenommen werden, fügen Sie folgende Zeilen in Ihre CAPolicy.inf Datei ein: [AuthorityInformationAccess] Empty = true [CRLDistributionPoint] Empty = true Hinweis: Als Alternative können Sie auch einfach die leeren Abschnitte [AuthorityInformationAccess] und [CRLDistributionPoint] einfügen, also ohne Einträge in den Abschnitten um die Aufnahme der Erweiterungen AIA und CDP ins Stammzertifizierungsstellenzertifikat zu unterdrücken." BEIDE Varianten funktionieren nicht, da ich jedesmal unter Eigenschaften der CA / Erweiterungen alle 4 Veröffentlichungspfade stehen habe, also LDAP, HTTP, file und den Standard(der auch bleiben soll). Hat jemand eine Idee wie man das ändern kann? Grüße, Ortlieb Zitieren
grizzly999 11 Geschrieben 21. Oktober 2004 Melden Geschrieben 21. Oktober 2004 Die Beschreibung von Microsoft ist korrekt. Wenn man die Artikel ganz liest, sollte da irgenwo stehen, dass die CAPolicy.inf vor der Installtion der Root-CA erstellt und ins system32 Verzeichnis abgelegt werden muss. grizzly999 Zitieren
Ortlieb 10 Geschrieben 21. Oktober 2004 Autor Melden Geschrieben 21. Oktober 2004 Ja, daß ist mir vollkommen bewußt , daß man das vor der Installation der Zertifikatsdienste macht. Die inf Datei wird auch geparst, das sieht man ja an der Beschriftung des Zertifikats dann. Also daran liegt es leider nicht. Grüße , Ortlieb Zitieren
grizzly999 11 Geschrieben 21. Oktober 2004 Melden Geschrieben 21. Oktober 2004 Also mein Root Zertifikat hat keinen AIA und keinen CDP, wenn ich die CAPolicy. inf in der vorgegebenen Weise benutze. Oder sprichst du nicht vom Root Zertifikat?! Wenn du das IssuingCA Zertifikat meinst, da kannst du ja in den Eigenschaften der RootCA die AIA und CDP-Pfade vor Ausstellung der zerts anpassen oder gar ganz rausnehmen. Oder vor Aufsetzen der IssuingCa die Parameter dort mit einer Policy.inf vorbereiten. grizzly999 Zitieren
Ortlieb 10 Geschrieben 22. Oktober 2004 Autor Melden Geschrieben 22. Oktober 2004 Danke für Deine nochmalige Antwort! Was ich vergessen hatte zu sagen, die CAPolicy kommt ins %windir% Verzeichnis, nicht ins system 32. Aber egal, es ist alles so wie ich es sagte, schreibe ich empty = true rein stehen im Root Zertifikat 4 Pfade , lasse ich es weg, daß gleiche. Das Problem ist, daß nachher auf der Issuing CA in der Chaining Engine Fehler auftreten, da die Veröffentlichungspunkte weitergegeben werden, wenn man das Root CA Zertifikat importiert. Ich hab in meiner Testumgebung das Problem gelöst, indem ich die Veröffentlichungspunkte der Root CA geändert habe im Snap In und danach erst das Zertifikat der Issuing CA ausgestellt habe. Sicher, nicht der feine Weg, mir wäre es lieber , die inf Datei würde funzen. Aber egal. Schönes Wochenende, Grüße Ortlieb :wink2: Zitieren
grizzly999 11 Geschrieben 22. Oktober 2004 Melden Geschrieben 22. Oktober 2004 Leider kann ich dir jetzt auch nicht sagen, wo der Fehler liegt, bei meiner CA gibt es nach der Eintragung der von dir genannten Sektionen keine AIA und CDP :( grizzly999 Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.