Jump to content

MS Zertifikatsdienste


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

ich habe eine Frage zu den Zertifikatsdiensten, im speziellen zu den Veröffentlichungspunkten der Offline Root CA. Ich möchte die AIA und CDP im Rootzertifikat unterdrücken, weil ja die CA vom Netz genommen wird. Die Chaining Engine stimmt sonst nicht, wenn das Zertifikat für die Issuing CA ausgestellt wird.

 

MS sagt selber (Microsoft Windows Server 2003 PKI and Certificate Security):

 

"Wenn Sie verhindern wollen, dass die Erweiterungen AIA und CDP ins Stammzertifizierungsstellenzertifikat aufgenommen werden, fügen Sie folgende Zeilen in Ihre CAPolicy.inf Datei ein:

 

 

[AuthorityInformationAccess]

Empty = true

 

[CRLDistributionPoint]

Empty = true

 

Hinweis: Als Alternative können Sie auch einfach die leeren Abschnitte [AuthorityInformationAccess] und [CRLDistributionPoint] einfügen, also ohne Einträge in den Abschnitten um die Aufnahme der Erweiterungen AIA und CDP ins Stammzertifizierungsstellenzertifikat zu unterdrücken."

 

BEIDE Varianten funktionieren nicht, da ich jedesmal unter Eigenschaften der CA / Erweiterungen alle 4 Veröffentlichungspfade stehen habe, also LDAP, HTTP, file und den Standard(der auch bleiben soll).

 

Hat jemand eine Idee wie man das ändern kann?

 

Grüße, Ortlieb

Link to comment

Also mein Root Zertifikat hat keinen AIA und keinen CDP, wenn ich die CAPolicy. inf in der vorgegebenen Weise benutze. Oder sprichst du nicht vom Root Zertifikat?!

Wenn du das IssuingCA Zertifikat meinst, da kannst du ja in den Eigenschaften der RootCA die AIA und CDP-Pfade vor Ausstellung der zerts anpassen oder gar ganz rausnehmen. Oder vor Aufsetzen der IssuingCa die Parameter dort mit einer Policy.inf vorbereiten.

 

 

grizzly999

Link to comment

Danke für Deine nochmalige Antwort! Was ich vergessen hatte zu sagen, die CAPolicy kommt ins %windir% Verzeichnis, nicht ins system 32. Aber egal, es ist alles so wie ich es sagte, schreibe ich empty = true rein stehen im Root Zertifikat 4 Pfade , lasse ich es weg, daß gleiche. Das Problem ist, daß nachher auf der Issuing CA in der Chaining Engine Fehler auftreten, da die Veröffentlichungspunkte weitergegeben werden, wenn man das Root CA Zertifikat importiert.

 

Ich hab in meiner Testumgebung das Problem gelöst, indem ich die Veröffentlichungspunkte der Root CA geändert habe im Snap In und danach erst das Zertifikat der Issuing CA ausgestellt habe. Sicher, nicht der feine Weg, mir wäre es lieber , die inf Datei würde funzen. Aber egal.

 

Schönes Wochenende, Grüße Ortlieb :wink2:

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...