denny86
Goto Top

AD CA - Client kann die CRL nicht abrufen

Hallo zusammen,

folgendes Problem:

Ich hab bei einem Kunden eine interne CA.
Diese verteilt via GPO automatisch alle Client-Zertifikate und stellt neue aus, wenn die alten abgelaufen sind.
Soweit funktioniert auch alles fehlerfrei.
Allerdings kann der Client die veröffentlichten CRLs nicht vom Server abrufen.

In der CA sind folgende Pfade für die Veröffentlichung der CRLs hinterlegt:
http://crl.kundendomäne.de/crld/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl
http://servername.internedomäne.de/crld/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl
Sperrlisten und Deltasperrlisten werden an diesen Punkten veröffentlicht.

Im Client-Zertifikat steht allerdings:
http://crl.kundendomäne.de/crld/<CAName>.crl
http://servername.internedomäne.de/crld/<CAName>.crl

Abfrage der URL via certutil zeigt Erfolg:
certutil -URL http://crl.kundendomäne.de/crld/KUNDE ROOT CA.crl
Status = OK
Typ = Basissperrliste (021e)
URL = [0.0] http://crl.kundendomäne.de/crld/KUNDE ROOT CA.crl
Abrufzeit = 0
Fingerabdruck = Fingerabdruck der CRL

Hintergrundinformationen:
Interne CA ist auf einem Windows Server 2019.
Das Root-CA wird via GPO auf allen Clients verteilt und die automatische Client-Zertifikat-Ausstellung ist aktiviert.
Templates sind angelegt.

CA wurde nach folgendem Beitrag eingerichtet:
https://asichel.de/2013/03/06/active-directory-zertifikatsdienste-ad-cs- ...
(diese Anleitung hat mir bisher immer sehr gute Dienste geleistet)

Hoffe ihr könnt mir eventuell weiterhelfen.

Ich entschuldige mich vorab für fehlende Informationen. Bitte kurz nachhaken, falls ihr noch mehr benötigt.

Danke für eure Hilfe vorab.

Content-ID: 1160780641

Url: https://administrator.de/forum/ad-ca-client-kann-die-crl-nicht-abrufen-1160780641.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

Dani
Dani 16.08.2021 um 12:10:46 Uhr
Goto Top
Moin
Allerdings kann der Client die veröffentlichten CRLs nicht vom Server abrufen.
wie hast du das festgestellt? Tritt das Problem innerhalb des gesicherten Netzwerk oder vom Zugriff von extern auf?


Gruß,
Dani
denny86
denny86 16.08.2021 aktualisiert um 12:28:16 Uhr
Goto Top
Hi Dani,

ein Mitarbeiter meldete mir, dass nach Einrichtung der CA sein WindowsHello am Laptop nicht mehr funktioniert.
Daraufhin habe ich mit
certutil -f -urlfetch -verify Clientzertifikat.cer
das Zertifikat geprüft.

Hierbei kommt es beim Prüfen der CRLs zu folgender Ausgabe:
  ----------------  Zertifikat abrufen  ----------------
  Gescheitert "CDP" Zeit: 0  
    Fehler beim Abrufen der URL: Fehler 0x80190194 (-2145844844)
    http://servername.internedomäne.de/crld/%3CCAName%3E.crl

  Gescheitert "CDP" Zeit: 0  
    Fehler beim Abrufen der URL: Fehler 0x80190194 (-2145844844)
    http://crl.kundendomäne.de/crld/%3CCAName%3E.crl

  Überprüft "Basissperrliste (021e)" Zeit: 4  
    [2.0] http://crl.kundendomäne.de/crld/KUNDE%20Root%20CA.crl

  Gescheitert "CDP" Zeit: 0  
    Fehler beim Abrufen der URL: Fehler 0x80190194 (-2145844844)
    [2.0.0] http://servername.internedomäne.de/crld/%3CCAName%3E+.crl

  Gescheitert "CDP" Zeit: 0  
    Fehler beim Abrufen der URL: Fehler 0x80190194 (-2145844844)
    [2.1.0] http://crl.kundendomäne.de/crld/%3CCAName%3E+.crl

  Gescheitert "CDP" Zeit: 0  
    Fehler beim Abrufen der URL: Der Servername oder die Serveradresse konnte ni
cht verarbeitet werden. 0x80072ee7 (WIN32: 12007)
    http://servername.internedomäne.de/crld/KUNDE%20Root%20CA.crl

  ----------------  Basissperrliste veraltet  ----------------
  Gescheitert "CDP" Zeit: 0  
    Fehler beim Abrufen der URL: Fehler 0x80190194 (-2145844844)
    http://servername.internedomäne.de/crld/%3CCAName%3E+.crl

  Gescheitert "CDP" Zeit: 0  
    Fehler beim Abrufen der URL: Fehler 0x80190194 (-2145844844)
    http://crl.kundendomäne.de/crld/%3CCAName%3E+.crl

Ich habe dann auf dem IIS die Verzeichnissuche aktiviert und die URL aufgerufen.
Die CRL sowie DeltaCRL liegen dort und sind erreichbar.

Wie erwähnt bisher auch alle Pfade/Berechtigungen im IIS / CA / NTFS geprüft.
Scheint alles fehlerfrei zu sein.

Aber ich komm nicht drauf, woher der Client den Pfad für die CRLs nimmt:
http://crl.kundendomäne.de/crld/%3CCAName%3E.crl
http://servername.internedomäne.de/crld/%3CCAName%3E.crl
Diese sind nämlich im Verzeichnis NICHT vorhanden.

Gruß denny

EDIT:
Die CA ist nicht nach extern veröffentlicht. Die Anfragen kommen direkt aus dem internen Netz.
Dani
Dani 16.08.2021 aktualisiert um 12:30:08 Uhr
Goto Top
Moin,
Aber ich komm nicht drauf, woher der Client den Pfad für die CRLs nimmt:
was steht denn bei dem angegebenen Zertifikat bei der Abfrage bei den Sperrlistenpunkte drin?

Has du auch mal den Status der Unternehmens-PKI über die MMC geprüft, dort alles Okay?
https://forsenergy.com/de-de/pkiview/html/33b841f7-6e71-4185-b76e-857658 ...


Gruß,
Dani
denny86
denny86 16.08.2021 um 12:31:52 Uhr
Goto Top
Das ist ja das seltsame.

Im ausgestellten Client-Zertifikat steht folgendes drin:

[1]Sperrlisten-Verteilungspunkt
     Name des Verteilungspunktes:
          Vollst. Name:
               URL=http://servername.internedomäne.de/crld/<CAName>.crl
(http://servername.internedomäne.de/crld/%3CCAName%3E.crl)
               URL=http://crl.kundendomäne.de/crld/<CAName>.crl 
(http://crl.kundendomäne.de/crld/%3CCAName%3E.crl)

Gruß denny
Dani
Dani 16.08.2021 um 12:39:02 Uhr
Goto Top
Moin,
dann hast du wohl die Sperrlistenpunkte für die Sub-CA nicht angepasst, sondern nur für die RootCA. Hast du das nochmals geprüft?


Gruß,
Dani
denny86
denny86 16.08.2021 um 12:43:29 Uhr
Goto Top
dann hast du wohl die Sperrlistenpunkte für die Sub-CA nicht angepasst, sondern nur für die RootCA. Hast du das nochmals geprüft?

Ich habe lediglich eine einzige AD CA im Einsatz und die ist eine Root-CA.
Mir wäre auch nicht bekannt, dass ich auf einem Server mehrere CAs installieren kann.

Gruß denny
Dani
Dani 16.08.2021 um 12:48:47 Uhr
Goto Top
Moin,
dann habe ich das einfach falsch interpretiert bzw. bin von 2 stufiger PKI aus Gewohnweit ausgegangen.
Kann es sein, dass das Certifikat ausgestellt wurde, bevor die Sperrlistenpunkte angepasst hast?

Hast du sicher die Sperrlisten-Punkte angepasst oder ausversehen "nur" die Zugriff auf Stelleninformationen?


Gruß,
Dani
denny86
denny86 16.08.2021 aktualisiert um 13:55:26 Uhr
Goto Top
Hi Dani,

die CA ist seit geraumer Zeit installiert und die Zertifikate werden wöchentlich aktualisiert.
Daher ist es SEHR unwahrscheinlich, dass die Zertifikate die "alten" Sperrlisten-Pfade beinhalten.
Testweise habe ich heute über die Web-CA ein Test-Zertifikat ausgestellt, welches die selben (falschen) CRL-Pfade beinhaltet.

Die CA hat folgende Pfade konfiguriert:
unbenannt

Folgende Haken sind bei den http-Pfaden aktiv:
  • In Sperrlisten einbeziehen.
  • In CDP-Erweiterung des ausgestellten Zertifikats einbeziehen.

Folgende Haken sind nicht aktiv:
  • In die IDP-Erweiterung ausgestellter CRLs einbeziehen

Beim FQDN-Pfad sind folgende Haken aktiviert:
  • Sperrlisten an diesem Ort veröffentlichen
  • Deltasperrlisten an diesem Ort veröffentlichen

Da der User jedoch erst vor kurzem WindowsHello aktiviert hat (und zwar aus dem Home-Office, bevor er dann wieder in der Firmen-Domäne aktiv war) ist es bisher nicht aufgefallen.

EDIT:
Hast du auch mal den Status der Unternehmens-PKI über die MMC geprüft, dort alles Okay?
https://forsenergy.com/de-de/pkiview/html/33b841f7-6e71-4185-b76e-857658 ...

Nachdem ich eben deinen erweiterten Post nochmals gesehen habe, hab ich die PKI geprüft.
Dort steht der von mir vermutete Fehler explizit nochmals drin:
pki

Aber was muss ich genau veröffentlichen, damit ich diesen Fehler beseitigen kann? Bzw. welche Pfade muss ich entsprechend anpassen?
149062
149062 16.08.2021 aktualisiert um 13:50:16 Uhr
Goto Top
KUNDE ROOT CA.crl
Sind da in Realität wirklich Spaces im CA Name?
Dann würde mich das Problem nicht wundern .
https://social.technet.microsoft.com/wiki/contents/articles/16160.consid ...
denny86
denny86 16.08.2021 um 14:00:13 Uhr
Goto Top
Zitat von @149062:

KUNDE ROOT CA.crl
Sind da in Realität wirklich Spaces im CA Name?
Dann würde mich das Problem nicht wundern .
https://social.technet.microsoft.com/wiki/contents/articles/16160.consid ...

Die CA selbst hat Spaces im Namen.
Die URLs sind ohne Spaces.

Laut dem MS Artikel steht aber auch geschrieben:
I would delete the section about blanks in Windows Server 2012 R1 AD CS only. That has been a temporary problem, but meanwhile fixed by Microsoft via a KB update.

And it never has been an issue with both earlier and later versions von the Windows Server operating system!
Gilt also laut MS nur für 2012 R1 AD CA

Gegeben dem Fall, dass es wirklich an den Spaces im CA-Name liegt... dann müsste ich die CA komplett "neu" aufbauen, da die Namensänderung einer bestehenden CA fast unmöglich ist!
149062
149062 16.08.2021 aktualisiert um 14:24:17 Uhr
Goto Top
Zitat von @denny86:

Die CA selbst hat Spaces im Namen.
Oha ...
Laut dem MS Artikel steht aber auch geschrieben:
> I would delete the section about blanks in Windows Server 2012 R1 AD CS only. That has been a temporary problem, but meanwhile fixed by Microsoft via a KB update.
> 
> And it never has been an issue with both earlier and later versions von the Windows Server operating system!
> 
Gilt also laut MS nur für 2012 R1 AD CA
MS schreibt vieles wenn der Tag lang ist!
Es gibt damit aber vielfach trotzdem noch Probleme, schon mehrfach auch teilweise in Verbindung mit Drittanbieter Produkten gesehen die da auf die Fresse fallen.
Gegeben dem Fall, dass es wirklich an den Spaces im CA-Name liegt... dann müsste ich die CA komplett "neu" aufbauen, da die Namensänderung einer bestehenden CA fast unmöglich ist!
Dann ist das eben so. Planung ist bei einer CA das A und O! Und bei so wichtigen Sachen benutze ich generell keine Spaces mehr, und wenn dann nur underscores oder dashes.
denny86
denny86 16.08.2021 um 15:45:28 Uhr
Goto Top
Na wem dem wirklich so ist, dann werde ich mir Gedanken darüber machen müssen die CA neu aufzubauen.

Vielleicht hat dennoch jemand noch einen anderen Lösungsansatz, weshalb die CRL-URL nicht vollständig eingetragen wird.

Wäre es eine Möglichkeit die Variablen direkt in die URL einzutragen?
149062
149062 16.08.2021 aktualisiert um 16:10:19 Uhr
Goto Top
Zitat von @denny86:
Wäre es eine Möglichkeit die Variablen direkt in die URL einzutragen?
Du kannst jeder Zeit eine eigene URL ohne Variablen eintragen, musst dann halt selbst manuell sicherstellen das die CRL und Deltas auch unter diesem File über den IIS abrufbar sind oder an dem Standort veröffentlicht werden. Zertifikate müssen nach der Änderung natürlich neu ausgestellt werden.
How to Publish the CRL and AIA on a Separate Web Server
Dani
Dani 16.08.2021 um 17:52:12 Uhr
Goto Top
Moin,
weitere Gedankenstützen für die Änderungen an der bestehenden CA:
  • Umstellung von SHA1 auf SHA2
  • Alias für den Abruf der Sperrlisten (CRL und OCSP)
  • Mindestens 4096Bit für die Schlüssellänge
  • Modere Channel Provider
  • Nie vorhandene/standard Vorlagen ändern, sodern immer duplizieren


Gruß,
Dani