Adobe Reader - Revocationcheck von Signaturen misslingt
Moin Kollegen.
Wir signieren firmenintern PDFs mit Zertifikaten der eigenen Domänen-CA.
Seit der neuen Acrobat-Reader-Version sieht man leider keinen beruhigenden grünen Haken mehr, da der Reader behauptet, dass die Sperrung der Identität des Unterzeichners nicht geprüft werden kann ("Signature is valid, but revocation of the signer's identity could not be checked").
Was muss ich im Reader einstellen, damit er sich die benötigten Infos von der CA holen kann?
Im Zertifikat sind ja die CRL-Distribution points eingetragen und die am Client angewendete GPo gibt auch an, dass für die Revocation-Checks die Enterprise-root-CA ebenso wie externe vertraute Root-CAs genutzt werden dürfen.
Ich finde zwar die Adobe-Doku dazu aber kann der nichts Nützliches entnehmen.
Wir signieren firmenintern PDFs mit Zertifikaten der eigenen Domänen-CA.
Seit der neuen Acrobat-Reader-Version sieht man leider keinen beruhigenden grünen Haken mehr, da der Reader behauptet, dass die Sperrung der Identität des Unterzeichners nicht geprüft werden kann ("Signature is valid, but revocation of the signer's identity could not be checked").
Was muss ich im Reader einstellen, damit er sich die benötigten Infos von der CA holen kann?
Im Zertifikat sind ja die CRL-Distribution points eingetragen und die am Client angewendete GPo gibt auch an, dass für die Revocation-Checks die Enterprise-root-CA ebenso wie externe vertraute Root-CAs genutzt werden dürfen.
Ich finde zwar die Adobe-Doku dazu aber kann der nichts Nützliches entnehmen.
Please also mark the comments that contributed to the solution of the article
Content-ID: 668848
Url: https://administrator.de/contentid/668848
Printed on: December 14, 2024 at 17:12 o'clock
15 Comments
Latest comment
Adobe Reader treibt alle in den Wahnsinn, das Ding ist so schlecht per GPO zu managen wenn man z.B. Update-Benachrichtigungen unterbinden will und nach jedem Update darf man sich Gedanken machen welche Werkzeugleiste wohl diesmal wieder eingeblendet wird (und vom Benutzer nicht dauerhaft ausgeblendet werden kann) und vor allem Platz verschwendet. Das UI wird ja auch gerne redesigned, ich finde das grausam und hätte gerne Schmerzensgeld.
Nabend
Nur als Idee: Wir kopieren per Task die CRL von der Windows PKI auf einen Apache2. In der CA ist entsprechend die CRL nur per HTTP konfiguriert.
Gruß
Nur als Idee: Wir kopieren per Task die CRL von der Windows PKI auf einen Apache2. In der CA ist entsprechend die CRL nur per HTTP konfiguriert.
Gruß
Moin,
Adobe schreibt dazu dass die im ldap Pfad den fqdn haben wollen:
https://helpx.adobe.com/acrobat/kb/revocation-check-fails-for-ldap-url-c ...
Da der Domänenname entfernt werden sollte im forum weiß ich nicht, ob der fqdn als hostname angegeben wird. In deiner Fehlermeldung ist der zumindest raus.
Vielleicht hilft das?
Vg
Adobe schreibt dazu dass die im ldap Pfad den fqdn haben wollen:
https://helpx.adobe.com/acrobat/kb/revocation-check-fails-for-ldap-url-c ...
Da der Domänenname entfernt werden sollte im forum weiß ich nicht, ob der fqdn als hostname angegeben wird. In deiner Fehlermeldung ist der zumindest raus.
Vielleicht hilft das?
Vg