derwowusste
Goto Top

Adobe Reader - Revocationcheck von Signaturen misslingt

Moin Kollegen.

Wir signieren firmenintern PDFs mit Zertifikaten der eigenen Domänen-CA.
Seit der neuen Acrobat-Reader-Version sieht man leider keinen beruhigenden grünen Haken mehr, da der Reader behauptet, dass die Sperrung der Identität des Unterzeichners nicht geprüft werden kann ("Signature is valid, but revocation of the signer's identity could not be checked").

Was muss ich im Reader einstellen, damit er sich die benötigten Infos von der CA holen kann?
Im Zertifikat sind ja die CRL-Distribution points eingetragen und die am Client angewendete GPo gibt auch an, dass für die Revocation-Checks die Enterprise-root-CA ebenso wie externe vertraute Root-CAs genutzt werden dürfen.

Ich finde zwar die Adobe-Doku dazu aber kann der nichts Nützliches entnehmen.

Content-ID: 668848

Url: https://administrator.de/contentid/668848

Printed on: December 14, 2024 at 17:12 o'clock

ukulele-7
ukulele-7 Oct 18, 2024 at 09:23:46 (UTC)
Goto Top
Wir hatten mal sowas, da musste man die Trust-List beim Benutzer in den Einstellungen einmal händisch aktualisieren.
unbenannt
DerWoWusste
DerWoWusste Oct 18, 2024, updated at Nov 02, 2024 at 13:02:08 (UTC)
Goto Top
Moin.

Nee, es geht um Zerts, die unsere eigene CA ausstellt. Die sind auf keiner Liste von Adobe's EUTL oder AATL.
Celiko
Celiko Oct 18, 2024 at 10:52:47 (UTC)
Goto Top
Moin,

wie habt ihr die CRLs veröffentlicht?
Nur LDAP?

VG
DerWoWusste
DerWoWusste Oct 18, 2024 at 11:09:56 (UTC)
Goto Top
Ja, nur LDAP
DerWoWusste
DerWoWusste Oct 18, 2024 updated at 11:22:35 (UTC)
Goto Top
Da wir nie den Webservice der CA nutzen wollten, ist von der CA-Serverrolle lediglich "Certification Authority" installiert. Liest man nun aber die Beschreibung der weiteren Subfeatures, z.B. "Certification authority Web Enrollment", so steht dort "...simple Web interface that allows users to performa tasks such as...retrieve CRLs.

Bedeutet das wirklich, dass man den IIS braucht, um das Publishing kompatibel zu Adobe Reader zu machen? Kann ich mir nicht vorstellen, da Adobe Reader in den Einstellungen schon die Festlegung eines Directory Servers erlaubt und schreibt
Directory Servers can be used to search for contact information and certificates when managing your list of Trusted Certificates and when encrypting documents using Certificate Security
Das liest sich für mich so, als könne Adobe Reader durchaus per LDAP-Anfrage an die CRL rankommen. Und dieser Eintrag ist gesetzt.

Ich habe nämlich wenig Lust, hier noch einen IIS nur dafür zu installieren!
DerWoWusste
DerWoWusste Oct 18, 2024 updated at 12:27:19 (UTC)
Goto Top
Ich werd' hier noch blöd. Auf unserer CA ist ebenso der Adobe Reader installiert - selber Updatestand, selbes Dokument - Haken sind grün! Woran liegt's: auf der CA läuft er in 32 Bit! Nachdem ich dort nun die 64er installiert habe, sind die grünen Haken weg und die Ausrufezeichen wieder da. Und nun das Sahnehäubchen: Auch bei Status "grüner Haken" wurde die fehlende Revocation-List bemängelt! Also ist der 32er per Default weich eingestellt und der 64er hart. Toll! Edit wir hatten den AR letztens auf 64 Bit umgestellt - es liegt also nicht an Updates, sondern an den Defaults der 64er.

Somit ist klar, warum ich so wenige Leidensgenossen finde: sehr viele nutzen noch den 32-Bit-Reader.
--
Sei's drum: ich werde demnächst auf meiner Test-CA mal die Webservices installieren und es einfach austesten.
ukulele-7
ukulele-7 Oct 18, 2024 at 12:54:55 (UTC)
Goto Top
Adobe Reader treibt alle in den Wahnsinn, das Ding ist so schlecht per GPO zu managen wenn man z.B. Update-Benachrichtigungen unterbinden will und nach jedem Update darf man sich Gedanken machen welche Werkzeugleiste wohl diesmal wieder eingeblendet wird (und vom Benutzer nicht dauerhaft ausgeblendet werden kann) und vor allem Platz verschwendet. Das UI wird ja auch gerne redesigned, ich finde das grausam und hätte gerne Schmerzensgeld.
CH3COOH
CH3COOH Oct 18, 2024 at 14:28:59 (UTC)
Goto Top
Nabend
Zitat von @DerWoWusste:

Ich habe nämlich wenig Lust, hier noch einen IIS nur dafür zu installieren!
Nur als Idee: Wir kopieren per Task die CRL von der Windows PKI auf einen Apache2. In der CA ist entsprechend die CRL nur per HTTP konfiguriert.
Gruß
DerWoWusste
DerWoWusste Oct 18, 2024 updated at 15:21:35 (UTC)
Goto Top
Ja, auch eine Idee.

Mittlerweile habe ich den Test gemacht: auf einer Test-CA kam der Selbe Fehler. Daraufhin den Webservice installiert - läuft und revocationlist wird bezogen und ausgewertet - grüne Haken da!
Dann Webservice angehalten, revocationlist lokal aus dem Cache (%appdata%\Adobe\Acrobat\DC\Security\CRLCache) gelöscht und versucht, diese neu abzurufen bringt den Fehler:
CRL download error
Location: ldap:///CN=dom-DC22-1-CA,CN=dc22-1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=dom,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint  

Cannot connect to server.____________________________________________________________

CRL download error
Location: http://dc22-1.dom.local/CertEnroll/dom-DC22-1-CA.crl  

Unable to connect to remote server
Ok... also wird auch eine LDAP-Anfrage gemacht, die fehlschlägt und danach dann http probiert - warum das?

Warum ist unter Port 389 nicht auch ohne IIS das Benötigte abzurufen?
Celiko
Solution Celiko Oct 19, 2024 at 12:26:30 (UTC)
Goto Top
Moin,

Adobe schreibt dazu dass die im ldap Pfad den fqdn haben wollen:
https://helpx.adobe.com/acrobat/kb/revocation-check-fails-for-ldap-url-c ...

Da der Domänenname entfernt werden sollte im forum weiß ich nicht, ob der fqdn als hostname angegeben wird. In deiner Fehlermeldung ist der zumindest raus.

Vielleicht hilft das?

Vg
DerWoWusste
DerWoWusste Oct 19, 2024 updated at 15:26:13 (UTC)
Goto Top
Cool, das sieht nach einer Lösung aus samt mehrerer Alternativen. Werde ich probieren... Habe nun erstmal eine Woche frei.
Celiko
Celiko Nov 01, 2024 at 17:29:14 (UTC)
Goto Top
Moin, wollt mal wissen ob du hier weiter gekommen bist?

Vg
DerWoWusste
DerWoWusste Nov 02, 2024 at 12:33:01 (UTC)
Goto Top
Ja, bin weitergekommen. Wenn ich die CRL auf einen Webserver kopiere und in den Revocationeinstellungen der CA auf diesen zeige, wird die auch benutzt - grüne Haken da!

Was jedoch erstaunlich ist: ziehe ich nun ein Zertifikat zurück, bleiben die Haken grün, sprich, da ist der Acrobat DC definitiv verbuggt. Denn wenn ich das selbe zurückgezogene Zertifikat in den Einstellungen von Acrobat DC prüfen lassen, gibt er korrekt zurück, dass es zurückgezogen ist - die CRL ist also zugänglich und aktuell.

Was für ein Schrott. Ich werde jetzt noch auf meiner Test-CA prüfen, ob das Verhalten bei installiertem Webserver auf der CA genau so ist.
DerWoWusste
DerWoWusste Nov 03, 2024 at 20:06:46 (UTC)
Goto Top
Ok, da muss ich mich korrigieren.
Wenn man etwas signiert und das Zertifikat zum Zeitpunkt des Signierens noch nicht revoked ist, wird die Signatur nicht nachträglich ungültig, wenn man es später revoked. Völlig logisch.
DerWoWusste
DerWoWusste Nov 03, 2024 at 20:08:35 (UTC)
Goto Top
Auch wenn das HowTo von Adobe mehr als schwammig ist, markiere ich es als Lösung. Ich konnte jedoch nur die Lösung "alternativer Webserver" durchführen, alles andere ist mir nicht gelungen.