Jump to content

MS Zertifikatsdienste


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich habe eine Frage zu den Zertifikatsdiensten, im speziellen zu den Veröffentlichungspunkten der Offline Root CA. Ich möchte die AIA und CDP im Rootzertifikat unterdrücken, weil ja die CA vom Netz genommen wird. Die Chaining Engine stimmt sonst nicht, wenn das Zertifikat für die Issuing CA ausgestellt wird.

 

MS sagt selber (Microsoft Windows Server 2003 PKI and Certificate Security):

 

"Wenn Sie verhindern wollen, dass die Erweiterungen AIA und CDP ins Stammzertifizierungsstellenzertifikat aufgenommen werden, fügen Sie folgende Zeilen in Ihre CAPolicy.inf Datei ein:

 

 

[AuthorityInformationAccess]

Empty = true

 

[CRLDistributionPoint]

Empty = true

 

Hinweis: Als Alternative können Sie auch einfach die leeren Abschnitte [AuthorityInformationAccess] und [CRLDistributionPoint] einfügen, also ohne Einträge in den Abschnitten um die Aufnahme der Erweiterungen AIA und CDP ins Stammzertifizierungsstellenzertifikat zu unterdrücken."

 

BEIDE Varianten funktionieren nicht, da ich jedesmal unter Eigenschaften der CA / Erweiterungen alle 4 Veröffentlichungspfade stehen habe, also LDAP, HTTP, file und den Standard(der auch bleiben soll).

 

Hat jemand eine Idee wie man das ändern kann?

 

Grüße, Ortlieb

Link zu diesem Kommentar

Also mein Root Zertifikat hat keinen AIA und keinen CDP, wenn ich die CAPolicy. inf in der vorgegebenen Weise benutze. Oder sprichst du nicht vom Root Zertifikat?!

Wenn du das IssuingCA Zertifikat meinst, da kannst du ja in den Eigenschaften der RootCA die AIA und CDP-Pfade vor Ausstellung der zerts anpassen oder gar ganz rausnehmen. Oder vor Aufsetzen der IssuingCa die Parameter dort mit einer Policy.inf vorbereiten.

 

 

grizzly999

Link zu diesem Kommentar

Danke für Deine nochmalige Antwort! Was ich vergessen hatte zu sagen, die CAPolicy kommt ins %windir% Verzeichnis, nicht ins system 32. Aber egal, es ist alles so wie ich es sagte, schreibe ich empty = true rein stehen im Root Zertifikat 4 Pfade , lasse ich es weg, daß gleiche. Das Problem ist, daß nachher auf der Issuing CA in der Chaining Engine Fehler auftreten, da die Veröffentlichungspunkte weitergegeben werden, wenn man das Root CA Zertifikat importiert.

 

Ich hab in meiner Testumgebung das Problem gelöst, indem ich die Veröffentlichungspunkte der Root CA geändert habe im Snap In und danach erst das Zertifikat der Issuing CA ausgestellt habe. Sicher, nicht der feine Weg, mir wäre es lieber , die inf Datei würde funzen. Aber egal.

 

Schönes Wochenende, Grüße Ortlieb :wink2:

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...