9
Adobe Reader - Revocationcheck von Signaturen misslingt
Moin Kollegen.
Wir signieren firmenintern PDFs mit Zertifikaten der eigenen Domänen-CA.
Seit der neuen Acrobat-Reader-Version sieht man leider keinen beruhigenden grünen Haken mehr, da der Reader behauptet, dass die Sperrung der Identität des Unterzeichners nicht geprüft werden kann ("Signature is valid, but revocation of the signer's identity could not be checked").
Was muss ich im Reader einstellen, damit er sich die benötigten Infos von der CA holen kann?
Im Zertifikat sind ja die CRL-Distribution points eingetragen und die am Client angewendete GPo gibt auch an, dass für die Revocation-Checks die Enterprise-root-CA ebenso wie externe vertraute Root-CAs genutzt werden dürfen.
Ich finde zwar die Adobe-Doku dazu aber kann der nichts Nützliches entnehmen.
Wir signieren firmenintern PDFs mit Zertifikaten der eigenen Domänen-CA.
Seit der neuen Acrobat-Reader-Version sieht man leider keinen beruhigenden grünen Haken mehr, da der Reader behauptet, dass die Sperrung der Identität des Unterzeichners nicht geprüft werden kann ("Signature is valid, but revocation of the signer's identity could not be checked").
Was muss ich im Reader einstellen, damit er sich die benötigten Infos von der CA holen kann?
Im Zertifikat sind ja die CRL-Distribution points eingetragen und die am Client angewendete GPo gibt auch an, dass für die Revocation-Checks die Enterprise-root-CA ebenso wie externe vertraute Root-CAs genutzt werden dürfen.
Ich finde zwar die Adobe-Doku dazu aber kann der nichts Nützliches entnehmen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668848
Url: https://administrator.de/contentid/668848
Ausgedruckt am: 19.10.2024 um 09:10 Uhr
9 Kommentare
Neuester Kommentar
Wir hatten mal sowas, da musste man die Trust-List beim Benutzer in den Einstellungen einmal händisch aktualisieren.
Moin.
Nee, es geht um Zerts, die unsere eigene CA ausstellt. Die ist auf keine Liste von Adobe's EUTL oder AATL.
Nee, es geht um Zerts, die unsere eigene CA ausstellt. Die ist auf keine Liste von Adobe's EUTL oder AATL.
Moin,
wie habt ihr die CRLs veröffentlicht?
Nur LDAP?
VG
wie habt ihr die CRLs veröffentlicht?
Nur LDAP?
VG
Ja, nur LDAP
Da wir nie den Webservice der CA nutzen wollten, ist von der CA-Serverrolle lediglich "Certification Authority" installiert. Liest man nun aber die Beschreibung der weiteren Subfeatures, z.B. "Certification authority Web Enrollment", so steht dort "...simple Web interface that allows users to performa tasks such as...retrieve CRLs.
Bedeutet das wirklich, dass man den IIS braucht, um das Publishing kompatibel zu Adobe Reader zu machen? Kann ich mir nicht vorstellen, da Adobe Reader in den Einstellungen schon die Festlegung eines Directory Servers erlaubt und schreibt
Ich habe nämlich wenig Lust, hier noch einen IIS nur dafür zu installieren!
Bedeutet das wirklich, dass man den IIS braucht, um das Publishing kompatibel zu Adobe Reader zu machen? Kann ich mir nicht vorstellen, da Adobe Reader in den Einstellungen schon die Festlegung eines Directory Servers erlaubt und schreibt
Directory Servers can be used to search for contact information and certificates when managing your list of Trusted Certificates and when encrypting documents using Certificate Security
Das liest sich für mich so, als könne Adobe Reader durchaus per LDAP-Anfrage an die CRL rankommen. Und dieser Eintrag ist gesetzt.Ich habe nämlich wenig Lust, hier noch einen IIS nur dafür zu installieren!
Ich werd' hier noch blöd. Auf unserer CA ist ebenso der Adobe Reader installiert - selber Updatestand, selbes Dokument - Haken sind grün! Woran liegt's: auf der CA läuft er in 32 Bit! Nachdem ich dort nun die 64er installiert habe, sind die grünen Haken weg und die Ausrufezeichen wieder da. Und nun das Sahnehäubchen: Auch bei Status "grüner Haken" wurde die fehlende Revocation-List bemängelt! Also ist der 32er per Default weich eingestellt und der 64er hart. Toll! Edit wir hatten den AR letztens auf 64 Bit umgestellt - es liegt also nicht an Updates, sondern an den Defaults der 64er.
Somit ist klar, warum ich so wenige Leidensgenossen finde: sehr viele nutzen noch den 32-Bit-Reader.
--
Sei's drum: ich werde demnächst auf meiner Test-CA mal die Webservices installieren und es einfach austesten.
Somit ist klar, warum ich so wenige Leidensgenossen finde: sehr viele nutzen noch den 32-Bit-Reader.
--
Sei's drum: ich werde demnächst auf meiner Test-CA mal die Webservices installieren und es einfach austesten.
Adobe Reader treibt alle in den Wahnsinn, das Ding ist so schlecht per GPO zu managen wenn man z.B. Update-Benachrichtigungen unterbinden will und nach jedem Update darf man sich Gedanken machen welche Werkzeugleiste wohl diesmal wieder eingeblendet wird (und vom Benutzer nicht dauerhaft ausgeblendet werden kann) und vor allem Platz verschwendet. Das UI wird ja auch gerne redesigned, ich finde das grausam und hätte gerne Schmerzensgeld.
Nabend
Nur als Idee: Wir kopieren per Task die CRL von der Windows PKI auf einen Apache2. In der CA ist entsprechend die CRL nur per HTTP konfiguriert.
Gruß
Nur als Idee: Wir kopieren per Task die CRL von der Windows PKI auf einen Apache2. In der CA ist entsprechend die CRL nur per HTTP konfiguriert.
Gruß
Ja, auch eine Idee.
Mittlerweile habe ich den Test gemacht: auf einer Test-CA kam der Selbe Fehler. Daraufhin den Webservice installiert - läuft und revocationlist wird bezogen und ausgewertet - grüne Haken da!
Dann Webservice angehalten, revocationlist lokal aus dem Cache (%appdata%\Adobe\Acrobat\DC\Security\CRLCache) gelöscht und versucht, diese neu abzurufen bringt den Fehler:
Ok... also wird auch eine LDAP-Anfrage gemacht, die fehlschlägt und danach dann http probiert - warum das?
Warum ist unter Port 389 nicht auch ohne IIS das Benötigte abzurufen?
Mittlerweile habe ich den Test gemacht: auf einer Test-CA kam der Selbe Fehler. Daraufhin den Webservice installiert - läuft und revocationlist wird bezogen und ausgewertet - grüne Haken da!
Dann Webservice angehalten, revocationlist lokal aus dem Cache (%appdata%\Adobe\Acrobat\DC\Security\CRLCache) gelöscht und versucht, diese neu abzurufen bringt den Fehler:
CRL download error
Location: ldap:///CN=dom-DC22-1-CA,CN=dc22-1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=dom,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint
Cannot connect to server.____________________________________________________________
CRL download error
Location: http://dc22-1.dom.local/CertEnroll/dom-DC22-1-CA.crl
Unable to connect to remote serverWarum ist unter Port 389 nicht auch ohne IIS das Benötigte abzurufen?
