Ortlieb 10 Posted October 21, 2004 Report Share Posted October 21, 2004 Hallo, ich habe eine Frage zu den Zertifikatsdiensten, im speziellen zu den Veröffentlichungspunkten der Offline Root CA. Ich möchte die AIA und CDP im Rootzertifikat unterdrücken, weil ja die CA vom Netz genommen wird. Die Chaining Engine stimmt sonst nicht, wenn das Zertifikat für die Issuing CA ausgestellt wird. MS sagt selber (Microsoft Windows Server 2003 PKI and Certificate Security): "Wenn Sie verhindern wollen, dass die Erweiterungen AIA und CDP ins Stammzertifizierungsstellenzertifikat aufgenommen werden, fügen Sie folgende Zeilen in Ihre CAPolicy.inf Datei ein: [AuthorityInformationAccess] Empty = true [CRLDistributionPoint] Empty = true Hinweis: Als Alternative können Sie auch einfach die leeren Abschnitte [AuthorityInformationAccess] und [CRLDistributionPoint] einfügen, also ohne Einträge in den Abschnitten um die Aufnahme der Erweiterungen AIA und CDP ins Stammzertifizierungsstellenzertifikat zu unterdrücken." BEIDE Varianten funktionieren nicht, da ich jedesmal unter Eigenschaften der CA / Erweiterungen alle 4 Veröffentlichungspfade stehen habe, also LDAP, HTTP, file und den Standard(der auch bleiben soll). Hat jemand eine Idee wie man das ändern kann? Grüße, Ortlieb Quote Link to comment
grizzly999 11 Posted October 21, 2004 Report Share Posted October 21, 2004 Die Beschreibung von Microsoft ist korrekt. Wenn man die Artikel ganz liest, sollte da irgenwo stehen, dass die CAPolicy.inf vor der Installtion der Root-CA erstellt und ins system32 Verzeichnis abgelegt werden muss. grizzly999 Quote Link to comment
Ortlieb 10 Posted October 21, 2004 Author Report Share Posted October 21, 2004 Ja, daß ist mir vollkommen bewußt , daß man das vor der Installation der Zertifikatsdienste macht. Die inf Datei wird auch geparst, das sieht man ja an der Beschriftung des Zertifikats dann. Also daran liegt es leider nicht. Grüße , Ortlieb Quote Link to comment
grizzly999 11 Posted October 21, 2004 Report Share Posted October 21, 2004 Also mein Root Zertifikat hat keinen AIA und keinen CDP, wenn ich die CAPolicy. inf in der vorgegebenen Weise benutze. Oder sprichst du nicht vom Root Zertifikat?! Wenn du das IssuingCA Zertifikat meinst, da kannst du ja in den Eigenschaften der RootCA die AIA und CDP-Pfade vor Ausstellung der zerts anpassen oder gar ganz rausnehmen. Oder vor Aufsetzen der IssuingCa die Parameter dort mit einer Policy.inf vorbereiten. grizzly999 Quote Link to comment
Ortlieb 10 Posted October 22, 2004 Author Report Share Posted October 22, 2004 Danke für Deine nochmalige Antwort! Was ich vergessen hatte zu sagen, die CAPolicy kommt ins %windir% Verzeichnis, nicht ins system 32. Aber egal, es ist alles so wie ich es sagte, schreibe ich empty = true rein stehen im Root Zertifikat 4 Pfade , lasse ich es weg, daß gleiche. Das Problem ist, daß nachher auf der Issuing CA in der Chaining Engine Fehler auftreten, da die Veröffentlichungspunkte weitergegeben werden, wenn man das Root CA Zertifikat importiert. Ich hab in meiner Testumgebung das Problem gelöst, indem ich die Veröffentlichungspunkte der Root CA geändert habe im Snap In und danach erst das Zertifikat der Issuing CA ausgestellt habe. Sicher, nicht der feine Weg, mir wäre es lieber , die inf Datei würde funzen. Aber egal. Schönes Wochenende, Grüße Ortlieb :wink2: Quote Link to comment
grizzly999 11 Posted October 22, 2004 Report Share Posted October 22, 2004 Leider kann ich dir jetzt auch nicht sagen, wo der Fehler liegt, bei meiner CA gibt es nach der Eintragung der von dir genannten Sektionen keine AIA und CDP :( grizzly999 Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.