15
Adobe Reader - Revocationcheck von Signaturen misslingt
Moin Kollegen.
Wir signieren firmenintern PDFs mit Zertifikaten der eigenen Domänen-CA.
Seit der neuen Acrobat-Reader-Version sieht man leider keinen beruhigenden grünen Haken mehr, da der Reader behauptet, dass die Sperrung der Identität des Unterzeichners nicht geprüft werden kann ("Signature is valid, but revocation of the signer's identity could not be checked").
Was muss ich im Reader einstellen, damit er sich die benötigten Infos von der CA holen kann?
Im Zertifikat sind ja die CRL-Distribution points eingetragen und die am Client angewendete GPo gibt auch an, dass für die Revocation-Checks die Enterprise-root-CA ebenso wie externe vertraute Root-CAs genutzt werden dürfen.
Ich finde zwar die Adobe-Doku dazu aber kann der nichts Nützliches entnehmen.
Wir signieren firmenintern PDFs mit Zertifikaten der eigenen Domänen-CA.
Seit der neuen Acrobat-Reader-Version sieht man leider keinen beruhigenden grünen Haken mehr, da der Reader behauptet, dass die Sperrung der Identität des Unterzeichners nicht geprüft werden kann ("Signature is valid, but revocation of the signer's identity could not be checked").
Was muss ich im Reader einstellen, damit er sich die benötigten Infos von der CA holen kann?
Im Zertifikat sind ja die CRL-Distribution points eingetragen und die am Client angewendete GPo gibt auch an, dass für die Revocation-Checks die Enterprise-root-CA ebenso wie externe vertraute Root-CAs genutzt werden dürfen.
Ich finde zwar die Adobe-Doku dazu aber kann der nichts Nützliches entnehmen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668848
Url: https://administrator.de/contentid/668848
Ausgedruckt am: 21.11.2024 um 08:11 Uhr
15 Kommentare
Neuester Kommentar
Wir hatten mal sowas, da musste man die Trust-List beim Benutzer in den Einstellungen einmal händisch aktualisieren.
Moin.
Nee, es geht um Zerts, die unsere eigene CA ausstellt. Die sind auf keiner Liste von Adobe's EUTL oder AATL.
Nee, es geht um Zerts, die unsere eigene CA ausstellt. Die sind auf keiner Liste von Adobe's EUTL oder AATL.
Moin,
wie habt ihr die CRLs veröffentlicht?
Nur LDAP?
VG
wie habt ihr die CRLs veröffentlicht?
Nur LDAP?
VG
Ja, nur LDAP
Da wir nie den Webservice der CA nutzen wollten, ist von der CA-Serverrolle lediglich "Certification Authority" installiert. Liest man nun aber die Beschreibung der weiteren Subfeatures, z.B. "Certification authority Web Enrollment", so steht dort "...simple Web interface that allows users to performa tasks such as...retrieve CRLs.
Bedeutet das wirklich, dass man den IIS braucht, um das Publishing kompatibel zu Adobe Reader zu machen? Kann ich mir nicht vorstellen, da Adobe Reader in den Einstellungen schon die Festlegung eines Directory Servers erlaubt und schreibt
Ich habe nämlich wenig Lust, hier noch einen IIS nur dafür zu installieren!
Bedeutet das wirklich, dass man den IIS braucht, um das Publishing kompatibel zu Adobe Reader zu machen? Kann ich mir nicht vorstellen, da Adobe Reader in den Einstellungen schon die Festlegung eines Directory Servers erlaubt und schreibt
Directory Servers can be used to search for contact information and certificates when managing your list of Trusted Certificates and when encrypting documents using Certificate Security
Das liest sich für mich so, als könne Adobe Reader durchaus per LDAP-Anfrage an die CRL rankommen. Und dieser Eintrag ist gesetzt.Ich habe nämlich wenig Lust, hier noch einen IIS nur dafür zu installieren!
Ich werd' hier noch blöd. Auf unserer CA ist ebenso der Adobe Reader installiert - selber Updatestand, selbes Dokument - Haken sind grün! Woran liegt's: auf der CA läuft er in 32 Bit! Nachdem ich dort nun die 64er installiert habe, sind die grünen Haken weg und die Ausrufezeichen wieder da. Und nun das Sahnehäubchen: Auch bei Status "grüner Haken" wurde die fehlende Revocation-List bemängelt! Also ist der 32er per Default weich eingestellt und der 64er hart. Toll! Edit wir hatten den AR letztens auf 64 Bit umgestellt - es liegt also nicht an Updates, sondern an den Defaults der 64er.
Somit ist klar, warum ich so wenige Leidensgenossen finde: sehr viele nutzen noch den 32-Bit-Reader.
--
Sei's drum: ich werde demnächst auf meiner Test-CA mal die Webservices installieren und es einfach austesten.
Somit ist klar, warum ich so wenige Leidensgenossen finde: sehr viele nutzen noch den 32-Bit-Reader.
--
Sei's drum: ich werde demnächst auf meiner Test-CA mal die Webservices installieren und es einfach austesten.
Adobe Reader treibt alle in den Wahnsinn, das Ding ist so schlecht per GPO zu managen wenn man z.B. Update-Benachrichtigungen unterbinden will und nach jedem Update darf man sich Gedanken machen welche Werkzeugleiste wohl diesmal wieder eingeblendet wird (und vom Benutzer nicht dauerhaft ausgeblendet werden kann) und vor allem Platz verschwendet. Das UI wird ja auch gerne redesigned, ich finde das grausam und hätte gerne Schmerzensgeld.
Nabend
Nur als Idee: Wir kopieren per Task die CRL von der Windows PKI auf einen Apache2. In der CA ist entsprechend die CRL nur per HTTP konfiguriert.
Gruß
Nur als Idee: Wir kopieren per Task die CRL von der Windows PKI auf einen Apache2. In der CA ist entsprechend die CRL nur per HTTP konfiguriert.
Gruß
Ja, auch eine Idee.
Mittlerweile habe ich den Test gemacht: auf einer Test-CA kam der Selbe Fehler. Daraufhin den Webservice installiert - läuft und revocationlist wird bezogen und ausgewertet - grüne Haken da!
Dann Webservice angehalten, revocationlist lokal aus dem Cache (%appdata%\Adobe\Acrobat\DC\Security\CRLCache) gelöscht und versucht, diese neu abzurufen bringt den Fehler:
Ok... also wird auch eine LDAP-Anfrage gemacht, die fehlschlägt und danach dann http probiert - warum das?
Warum ist unter Port 389 nicht auch ohne IIS das Benötigte abzurufen?
Mittlerweile habe ich den Test gemacht: auf einer Test-CA kam der Selbe Fehler. Daraufhin den Webservice installiert - läuft und revocationlist wird bezogen und ausgewertet - grüne Haken da!
Dann Webservice angehalten, revocationlist lokal aus dem Cache (%appdata%\Adobe\Acrobat\DC\Security\CRLCache) gelöscht und versucht, diese neu abzurufen bringt den Fehler:
CRL download error
Location: ldap:///CN=dom-DC22-1-CA,CN=dc22-1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=dom,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint
Cannot connect to server.____________________________________________________________
CRL download error
Location: http://dc22-1.dom.local/CertEnroll/dom-DC22-1-CA.crl
Unable to connect to remote serverWarum ist unter Port 389 nicht auch ohne IIS das Benötigte abzurufen?
Moin,
Adobe schreibt dazu dass die im ldap Pfad den fqdn haben wollen:
https://helpx.adobe.com/acrobat/kb/revocation-check-fails-for-ldap-url-c ...
Da der Domänenname entfernt werden sollte im forum weiß ich nicht, ob der fqdn als hostname angegeben wird. In deiner Fehlermeldung ist der zumindest raus.
Vielleicht hilft das?
Vg
Adobe schreibt dazu dass die im ldap Pfad den fqdn haben wollen:
https://helpx.adobe.com/acrobat/kb/revocation-check-fails-for-ldap-url-c ...
Da der Domänenname entfernt werden sollte im forum weiß ich nicht, ob der fqdn als hostname angegeben wird. In deiner Fehlermeldung ist der zumindest raus.
Vielleicht hilft das?
Vg
1
Cool, das sieht nach einer Lösung aus samt mehrerer Alternativen. Werde ich probieren... Habe nun erstmal eine Woche frei.
Moin, wollt mal wissen ob du hier weiter gekommen bist?
Vg
Vg
Ja, bin weitergekommen. Wenn ich die CRL auf einen Webserver kopiere und in den Revocationeinstellungen der CA auf diesen zeige, wird die auch benutzt - grüne Haken da!
Was jedoch erstaunlich ist: ziehe ich nun ein Zertifikat zurück, bleiben die Haken grün, sprich, da ist der Acrobat DC definitiv verbuggt. Denn wenn ich das selbe zurückgezogene Zertifikat in den Einstellungen von Acrobat DC prüfen lassen, gibt er korrekt zurück, dass es zurückgezogen ist - die CRL ist also zugänglich und aktuell.
Was für ein Schrott. Ich werde jetzt noch auf meiner Test-CA prüfen, ob das Verhalten bei installiertem Webserver auf der CA genau so ist.
Was jedoch erstaunlich ist: ziehe ich nun ein Zertifikat zurück, bleiben die Haken grün, sprich, da ist der Acrobat DC definitiv verbuggt. Denn wenn ich das selbe zurückgezogene Zertifikat in den Einstellungen von Acrobat DC prüfen lassen, gibt er korrekt zurück, dass es zurückgezogen ist - die CRL ist also zugänglich und aktuell.
Was für ein Schrott. Ich werde jetzt noch auf meiner Test-CA prüfen, ob das Verhalten bei installiertem Webserver auf der CA genau so ist.
Ok, da muss ich mich korrigieren.
Wenn man etwas signiert und das Zertifikat zum Zeitpunkt des Signierens noch nicht revoked ist, wird die Signatur nicht nachträglich ungültig, wenn man es später revoked. Völlig logisch.
Wenn man etwas signiert und das Zertifikat zum Zeitpunkt des Signierens noch nicht revoked ist, wird die Signatur nicht nachträglich ungültig, wenn man es später revoked. Völlig logisch.
Auch wenn das HowTo von Adobe mehr als schwammig ist, markiere ich es als Lösung. Ich konnte jedoch nur die Lösung "alternativer Webserver" durchführen, alles andere ist mir nicht gelungen.
