Problem Enterprise PKI
Hallo,
Ich versuchte heute eine Enterprise PKI in einer Lab Umgebung aufzubauen. Aber ich bekam immer den folgenden Fehler:
Can not verify certification chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation because the revocation server was offline.
Meine Lab Umgebung besteht aus 3 Server. Einem DC einer Subordinate CA (Domain Member Server) und einer Root CA (kein Domain Member).
Nach dieser Anleitung http://mizitechinfo.wordpress.com/2013/08/31/step-by-step-deploying-an- ... ging ich vor.
Könnt Ihr mir helfen um das Problem zu beheben?
Danke für Eure Hilfe.
Viele Grüße
Stefan
Ich versuchte heute eine Enterprise PKI in einer Lab Umgebung aufzubauen. Aber ich bekam immer den folgenden Fehler:
Can not verify certification chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation because the revocation server was offline.
Meine Lab Umgebung besteht aus 3 Server. Einem DC einer Subordinate CA (Domain Member Server) und einer Root CA (kein Domain Member).
Nach dieser Anleitung http://mizitechinfo.wordpress.com/2013/08/31/step-by-step-deploying-an- ... ging ich vor.
Könnt Ihr mir helfen um das Problem zu beheben?
Danke für Eure Hilfe.
Viele Grüße
Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 227808
Url: https://administrator.de/forum/problem-enterprise-pki-227808.html
Ausgedruckt am: 22.12.2024 um 19:12 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
die Fehlermeldung ist doch recht eindeutig:
The revocation function was unable to check revocation because the revocation server was offline
Windows PKI überprüft für die gesamte Kette die CRL Informationen unter dern URLs die in den Zertifikaten angegeben sind. Das klappt bei dir mit mindestens einem Zertifikat nicht, d.h. entweder die eingetragene URI ist falsch oder du hast vergessen die CRL zu den passenden Plätzen zu verteilen. Lösungen gibt es z.B. hier:
http://social.technet.microsoft.com/Forums/windowsserver/en-US/348a9b8d ...
Gruß
Andi
die Fehlermeldung ist doch recht eindeutig:
The revocation function was unable to check revocation because the revocation server was offline
Windows PKI überprüft für die gesamte Kette die CRL Informationen unter dern URLs die in den Zertifikaten angegeben sind. Das klappt bei dir mit mindestens einem Zertifikat nicht, d.h. entweder die eingetragene URI ist falsch oder du hast vergessen die CRL zu den passenden Plätzen zu verteilen. Lösungen gibt es z.B. hier:
http://social.technet.microsoft.com/Forums/windowsserver/en-US/348a9b8d ...
Gruß
Andi
Hallo,
das hängt davon ab welche URL in den Zertifikaten der Kette eingetragen ist. Es kann sich dabei auch um einen ganz anderen und nicht den Root CA Server handeln, dieser muß lediglich eine aktuelle signierte CRL vorhalten oder per OCSP eine gültige Antwort liefern (http://de.wikipedia.org/wiki/Zertifikatsperrliste), http://de.wikipedia.org/wiki/Online_Certificate_Status_Protocol). Alternativ dazu kann man den Check auf zurück gezogene Zertifikate deaktivieren, ist aber dann eher Pfusch*Pfusch.
Gruß
Andi
das hängt davon ab welche URL in den Zertifikaten der Kette eingetragen ist. Es kann sich dabei auch um einen ganz anderen und nicht den Root CA Server handeln, dieser muß lediglich eine aktuelle signierte CRL vorhalten oder per OCSP eine gültige Antwort liefern (http://de.wikipedia.org/wiki/Zertifikatsperrliste), http://de.wikipedia.org/wiki/Online_Certificate_Status_Protocol). Alternativ dazu kann man den Check auf zurück gezogene Zertifikate deaktivieren, ist aber dann eher Pfusch*Pfusch.
Gruß
Andi
Hallo,
ich hab zur Zeit keine Windows PKI hier und die Anleitung ist im Punkt CRL verteilen nicht sehr detailiert.
Hier werden die Hintergründe zu CDP/CRL etwas genauer ausgeführt, ist allerdings in englisch:
http://blogs.technet.com/b/nexthop/archive/2012/12/17/creating-a-certif ...
Gruß
Andi
ich hab zur Zeit keine Windows PKI hier und die Anleitung ist im Punkt CRL verteilen nicht sehr detailiert.
Hier werden die Hintergründe zu CDP/CRL etwas genauer ausgeführt, ist allerdings in englisch:
http://blogs.technet.com/b/nexthop/archive/2012/12/17/creating-a-certif ...
Gruß
Andi