14
AD CA - Client kann die CRL nicht abrufen
Hallo zusammen,
folgendes Problem:
Ich hab bei einem Kunden eine interne CA.
Diese verteilt via GPO automatisch alle Client-Zertifikate und stellt neue aus, wenn die alten abgelaufen sind.
Soweit funktioniert auch alles fehlerfrei.
Allerdings kann der Client die veröffentlichten CRLs nicht vom Server abrufen.
In der CA sind folgende Pfade für die Veröffentlichung der CRLs hinterlegt:
Sperrlisten und Deltasperrlisten werden an diesen Punkten veröffentlicht.
Im Client-Zertifikat steht allerdings:
Abfrage der URL via certutil zeigt Erfolg:
Hintergrundinformationen:
Interne CA ist auf einem Windows Server 2019.
Das Root-CA wird via GPO auf allen Clients verteilt und die automatische Client-Zertifikat-Ausstellung ist aktiviert.
Templates sind angelegt.
CA wurde nach folgendem Beitrag eingerichtet:
https://asichel.de/2013/03/06/active-directory-zertifikatsdienste-ad-cs- ...
(diese Anleitung hat mir bisher immer sehr gute Dienste geleistet)
Hoffe ihr könnt mir eventuell weiterhelfen.
Ich entschuldige mich vorab für fehlende Informationen. Bitte kurz nachhaken, falls ihr noch mehr benötigt.
Danke für eure Hilfe vorab.
folgendes Problem:
Ich hab bei einem Kunden eine interne CA.
Diese verteilt via GPO automatisch alle Client-Zertifikate und stellt neue aus, wenn die alten abgelaufen sind.
Soweit funktioniert auch alles fehlerfrei.
Allerdings kann der Client die veröffentlichten CRLs nicht vom Server abrufen.
In der CA sind folgende Pfade für die Veröffentlichung der CRLs hinterlegt:
http://crl.kundendomäne.de/crld/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl
http://servername.internedomäne.de/crld/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crlIm Client-Zertifikat steht allerdings:
http://crl.kundendomäne.de/crld/<CAName>.crl
http://servername.internedomäne.de/crld/<CAName>.crlAbfrage der URL via certutil zeigt Erfolg:
certutil -URL http://crl.kundendomäne.de/crld/KUNDE ROOT CA.crl
Status = OK
Typ = Basissperrliste (021e)
URL = [0.0] http://crl.kundendomäne.de/crld/KUNDE ROOT CA.crl
Abrufzeit = 0
Fingerabdruck = Fingerabdruck der CRLHintergrundinformationen:
Interne CA ist auf einem Windows Server 2019.
Das Root-CA wird via GPO auf allen Clients verteilt und die automatische Client-Zertifikat-Ausstellung ist aktiviert.
Templates sind angelegt.
CA wurde nach folgendem Beitrag eingerichtet:
https://asichel.de/2013/03/06/active-directory-zertifikatsdienste-ad-cs- ...
(diese Anleitung hat mir bisher immer sehr gute Dienste geleistet)
Hoffe ihr könnt mir eventuell weiterhelfen.
Ich entschuldige mich vorab für fehlende Informationen. Bitte kurz nachhaken, falls ihr noch mehr benötigt.
Danke für eure Hilfe vorab.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1160780641
Url: https://administrator.de/contentid/1160780641
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
14 Kommentare
Neuester Kommentar
Moin
Gruß,
Dani
Allerdings kann der Client die veröffentlichten CRLs nicht vom Server abrufen.
wie hast du das festgestellt? Tritt das Problem innerhalb des gesicherten Netzwerk oder vom Zugriff von extern auf?Gruß,
Dani
Hi Dani,
ein Mitarbeiter meldete mir, dass nach Einrichtung der CA sein WindowsHello am Laptop nicht mehr funktioniert.
Daraufhin habe ich mit
das Zertifikat geprüft.
Hierbei kommt es beim Prüfen der CRLs zu folgender Ausgabe:
Ich habe dann auf dem IIS die Verzeichnissuche aktiviert und die URL aufgerufen.
Die CRL sowie DeltaCRL liegen dort und sind erreichbar.
Wie erwähnt bisher auch alle Pfade/Berechtigungen im IIS / CA / NTFS geprüft.
Scheint alles fehlerfrei zu sein.
Aber ich komm nicht drauf, woher der Client den Pfad für die CRLs nimmt:
Diese sind nämlich im Verzeichnis NICHT vorhanden.
Gruß denny
EDIT:
Die CA ist nicht nach extern veröffentlicht. Die Anfragen kommen direkt aus dem internen Netz.
ein Mitarbeiter meldete mir, dass nach Einrichtung der CA sein WindowsHello am Laptop nicht mehr funktioniert.
Daraufhin habe ich mit
certutil -f -urlfetch -verify Clientzertifikat.cerHierbei kommt es beim Prüfen der CRLs zu folgender Ausgabe:
---------------- Zertifikat abrufen ----------------
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Fehler 0x80190194 (-2145844844)
http://servername.internedomäne.de/crld/%3CCAName%3E.crl
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Fehler 0x80190194 (-2145844844)
http://crl.kundendomäne.de/crld/%3CCAName%3E.crl
Überprüft "Basissperrliste (021e)" Zeit: 4
[2.0] http://crl.kundendomäne.de/crld/KUNDE%20Root%20CA.crl
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Fehler 0x80190194 (-2145844844)
[2.0.0] http://servername.internedomäne.de/crld/%3CCAName%3E+.crl
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Fehler 0x80190194 (-2145844844)
[2.1.0] http://crl.kundendomäne.de/crld/%3CCAName%3E+.crl
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Der Servername oder die Serveradresse konnte ni
cht verarbeitet werden. 0x80072ee7 (WIN32: 12007)
http://servername.internedomäne.de/crld/KUNDE%20Root%20CA.crl
---------------- Basissperrliste veraltet ----------------
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Fehler 0x80190194 (-2145844844)
http://servername.internedomäne.de/crld/%3CCAName%3E+.crl
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Fehler 0x80190194 (-2145844844)
http://crl.kundendomäne.de/crld/%3CCAName%3E+.crlIch habe dann auf dem IIS die Verzeichnissuche aktiviert und die URL aufgerufen.
Die CRL sowie DeltaCRL liegen dort und sind erreichbar.
Wie erwähnt bisher auch alle Pfade/Berechtigungen im IIS / CA / NTFS geprüft.
Scheint alles fehlerfrei zu sein.
Aber ich komm nicht drauf, woher der Client den Pfad für die CRLs nimmt:
http://crl.kundendomäne.de/crld/%3CCAName%3E.crl
http://servername.internedomäne.de/crld/%3CCAName%3E.crlGruß denny
EDIT:
Die CA ist nicht nach extern veröffentlicht. Die Anfragen kommen direkt aus dem internen Netz.
Moin,
Has du auch mal den Status der Unternehmens-PKI über die MMC geprüft, dort alles Okay?
https://forsenergy.com/de-de/pkiview/html/33b841f7-6e71-4185-b76e-857658 ...
Gruß,
Dani
Aber ich komm nicht drauf, woher der Client den Pfad für die CRLs nimmt:
was steht denn bei dem angegebenen Zertifikat bei der Abfrage bei den Sperrlistenpunkte drin?Has du auch mal den Status der Unternehmens-PKI über die MMC geprüft, dort alles Okay?
https://forsenergy.com/de-de/pkiview/html/33b841f7-6e71-4185-b76e-857658 ...
Gruß,
Dani
Das ist ja das seltsame.
Im ausgestellten Client-Zertifikat steht folgendes drin:
Gruß denny
Im ausgestellten Client-Zertifikat steht folgendes drin:
[1]Sperrlisten-Verteilungspunkt
Name des Verteilungspunktes:
Vollst. Name:
URL=http://servername.internedomäne.de/crld/<CAName>.crl
(http://servername.internedomäne.de/crld/%3CCAName%3E.crl)
URL=http://crl.kundendomäne.de/crld/<CAName>.crl
(http://crl.kundendomäne.de/crld/%3CCAName%3E.crl)Gruß denny
Moin,
dann hast du wohl die Sperrlistenpunkte für die Sub-CA nicht angepasst, sondern nur für die RootCA. Hast du das nochmals geprüft?
Gruß,
Dani
dann hast du wohl die Sperrlistenpunkte für die Sub-CA nicht angepasst, sondern nur für die RootCA. Hast du das nochmals geprüft?
Gruß,
Dani
dann hast du wohl die Sperrlistenpunkte für die Sub-CA nicht angepasst, sondern nur für die RootCA. Hast du das nochmals geprüft?
Ich habe lediglich eine einzige AD CA im Einsatz und die ist eine Root-CA.
Mir wäre auch nicht bekannt, dass ich auf einem Server mehrere CAs installieren kann.
Gruß denny
Moin,
dann habe ich das einfach falsch interpretiert bzw. bin von 2 stufiger PKI aus Gewohnweit ausgegangen.
Kann es sein, dass das Certifikat ausgestellt wurde, bevor die Sperrlistenpunkte angepasst hast?
Gruß,
Dani
dann habe ich das einfach falsch interpretiert bzw. bin von 2 stufiger PKI aus Gewohnweit ausgegangen.
Kann es sein, dass das Certifikat ausgestellt wurde, bevor die Sperrlistenpunkte angepasst hast?
In der CA sind folgende Pfade für die Veröffentlichung der CRLs hinterlegt:
http://crl.kundendomäne.de/crld/<CAName><CRLNameSuffix> ...
http://servername.internedomäne.de/crld/<CAName><CRLNameS ...
Hast du sicher die Sperrlisten-Punkte angepasst oder ausversehen "nur" die Zugriff auf Stelleninformationen?http://crl.kundendomäne.de/crld/<CAName><CRLNameSuffix> ...
http://servername.internedomäne.de/crld/<CAName><CRLNameS ...
Gruß,
Dani
Hi Dani,
die CA ist seit geraumer Zeit installiert und die Zertifikate werden wöchentlich aktualisiert.
Daher ist es SEHR unwahrscheinlich, dass die Zertifikate die "alten" Sperrlisten-Pfade beinhalten.
Testweise habe ich heute über die Web-CA ein Test-Zertifikat ausgestellt, welches die selben (falschen) CRL-Pfade beinhaltet.
Die CA hat folgende Pfade konfiguriert:
Folgende Haken sind bei den http-Pfaden aktiv:
Folgende Haken sind nicht aktiv:
Beim FQDN-Pfad sind folgende Haken aktiviert:
Da der User jedoch erst vor kurzem WindowsHello aktiviert hat (und zwar aus dem Home-Office, bevor er dann wieder in der Firmen-Domäne aktiv war) ist es bisher nicht aufgefallen.
EDIT:
Nachdem ich eben deinen erweiterten Post nochmals gesehen habe, hab ich die PKI geprüft.
Dort steht der von mir vermutete Fehler explizit nochmals drin:
Aber was muss ich genau veröffentlichen, damit ich diesen Fehler beseitigen kann? Bzw. welche Pfade muss ich entsprechend anpassen?
die CA ist seit geraumer Zeit installiert und die Zertifikate werden wöchentlich aktualisiert.
Daher ist es SEHR unwahrscheinlich, dass die Zertifikate die "alten" Sperrlisten-Pfade beinhalten.
Testweise habe ich heute über die Web-CA ein Test-Zertifikat ausgestellt, welches die selben (falschen) CRL-Pfade beinhaltet.
Die CA hat folgende Pfade konfiguriert:
Folgende Haken sind bei den http-Pfaden aktiv:
- In Sperrlisten einbeziehen.
- In CDP-Erweiterung des ausgestellten Zertifikats einbeziehen.
Folgende Haken sind nicht aktiv:
- In die IDP-Erweiterung ausgestellter CRLs einbeziehen
Beim FQDN-Pfad sind folgende Haken aktiviert:
- Sperrlisten an diesem Ort veröffentlichen
- Deltasperrlisten an diesem Ort veröffentlichen
Da der User jedoch erst vor kurzem WindowsHello aktiviert hat (und zwar aus dem Home-Office, bevor er dann wieder in der Firmen-Domäne aktiv war) ist es bisher nicht aufgefallen.
EDIT:
Hast du auch mal den Status der Unternehmens-PKI über die MMC geprüft, dort alles Okay?
https://forsenergy.com/de-de/pkiview/html/33b841f7-6e71-4185-b76e-857658 ...
https://forsenergy.com/de-de/pkiview/html/33b841f7-6e71-4185-b76e-857658 ...
Nachdem ich eben deinen erweiterten Post nochmals gesehen habe, hab ich die PKI geprüft.
Dort steht der von mir vermutete Fehler explizit nochmals drin:
Aber was muss ich genau veröffentlichen, damit ich diesen Fehler beseitigen kann? Bzw. welche Pfade muss ich entsprechend anpassen?
KUNDE ROOT CA.crl
Sind da in Realität wirklich Spaces im CA Name?Dann würde mich das Problem nicht wundern .
https://social.technet.microsoft.com/wiki/contents/articles/16160.consid ...
Zitat von @149062:
Dann würde mich das Problem nicht wundern .
https://social.technet.microsoft.com/wiki/contents/articles/16160.consid ...
KUNDE ROOT CA.crl
Sind da in Realität wirklich Spaces im CA Name?Dann würde mich das Problem nicht wundern .
https://social.technet.microsoft.com/wiki/contents/articles/16160.consid ...
Die CA selbst hat Spaces im Namen.
Die URLs sind ohne Spaces.
Laut dem MS Artikel steht aber auch geschrieben:
I would delete the section about blanks in Windows Server 2012 R1 AD CS only. That has been a temporary problem, but meanwhile fixed by Microsoft via a KB update.
And it never has been an issue with both earlier and later versions von the Windows Server operating system!Gegeben dem Fall, dass es wirklich an den Spaces im CA-Name liegt... dann müsste ich die CA komplett "neu" aufbauen, da die Namensänderung einer bestehenden CA fast unmöglich ist!
Oha ...
Es gibt damit aber vielfach trotzdem noch Probleme, schon mehrfach auch teilweise in Verbindung mit Drittanbieter Produkten gesehen die da auf die Fresse fallen.
Laut dem MS Artikel steht aber auch geschrieben:
Gilt also laut MS nur für 2012 R1 AD CA
MS schreibt vieles wenn der Tag lang ist!> I would delete the section about blanks in Windows Server 2012 R1 AD CS only. That has been a temporary problem, but meanwhile fixed by Microsoft via a KB update.
>
> And it never has been an issue with both earlier and later versions von the Windows Server operating system!
> Es gibt damit aber vielfach trotzdem noch Probleme, schon mehrfach auch teilweise in Verbindung mit Drittanbieter Produkten gesehen die da auf die Fresse fallen.
Gegeben dem Fall, dass es wirklich an den Spaces im CA-Name liegt... dann müsste ich die CA komplett "neu" aufbauen, da die Namensänderung einer bestehenden CA fast unmöglich ist!
Dann ist das eben so. Planung ist bei einer CA das A und O! Und bei so wichtigen Sachen benutze ich generell keine Spaces mehr, und wenn dann nur underscores oder dashes.
Na wem dem wirklich so ist, dann werde ich mir Gedanken darüber machen müssen die CA neu aufzubauen.
Vielleicht hat dennoch jemand noch einen anderen Lösungsansatz, weshalb die CRL-URL nicht vollständig eingetragen wird.
Wäre es eine Möglichkeit die Variablen direkt in die URL einzutragen?
Vielleicht hat dennoch jemand noch einen anderen Lösungsansatz, weshalb die CRL-URL nicht vollständig eingetragen wird.
Wäre es eine Möglichkeit die Variablen direkt in die URL einzutragen?
Du kannst jeder Zeit eine eigene URL ohne Variablen eintragen, musst dann halt selbst manuell sicherstellen das die CRL und Deltas auch unter diesem File über den IIS abrufbar sind oder an dem Standort veröffentlicht werden. Zertifikate müssen nach der Änderung natürlich neu ausgestellt werden.
How to Publish the CRL and AIA on a Separate Web Server
How to Publish the CRL and AIA on a Separate Web Server
Moin,
weitere Gedankenstützen für die Änderungen an der bestehenden CA:
Gruß,
Dani
weitere Gedankenstützen für die Änderungen an der bestehenden CA:
- Umstellung von SHA1 auf SHA2
- Alias für den Abruf der Sperrlisten (CRL und OCSP)
- Mindestens 4096Bit für die Schlüssellänge
- Modere Channel Provider
- Nie vorhandene/standard Vorlagen ändern, sodern immer duplizieren
Gruß,
Dani
