ralpht
Goto Top

Speicherort Zertifikate im LDAP

Moin,

ich habe mal eine grundsätzliche Frage zu Zertifikaten im LDAP. Wie, bzw wo kann ich einzelne Zertifikate im LDAP löschen?
Ich bin mir jetzt nicht sicher, aber könnte das in diesem Pfad sein:

CN=OID,CN=Public Key Services,CN=Services,CN=Configuration,DC=subdomain,DC=doamin,DC=de

Wenn ich mir jetzt ein Zertifikat ansehe, dann kann ich keinen Bezug zu den Einträgen in den Container CN=OID herstellen.
Das ist wie gesagt aber auch nur eine Vermutung von mir, dass hier die Zertifikate liegen.

Im Container CN=AIA ist ja nur, bzw. sind ja nur die eigentliche Zertifierungsstelle gelistet.
Wenn man sich das Attribut "cACertificate" ansieht, dann erkenne ich in diesem Fall 4 Einträge.

Content-ID: 374197

Url: https://administrator.de/forum/speicherort-zertifikate-im-ldap-374197.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

136166
136166 17.05.2018 aktualisiert um 10:26:59 Uhr
Goto Top
Zertifikate löscht man nicht, man Revoked (Wiederruft) sie. Grundregel NR. 1 einer CA.
Zum Thema siehe Certificate Directory
emeriks
emeriks 17.05.2018 um 10:03:12 Uhr
Goto Top
Hi,
Zitat von @136166:
Zertifikate löscht man nicht, man Revoked sie. Grundregel NR. 1 einer CA.
Revoked ... schon klar.
Heute schon gedownloaded?

E.
136166
136166 17.05.2018 aktualisiert um 10:15:36 Uhr
Goto Top
War klar, das von dir nur Müll als Rückantwort kommt.
emeriks
Lösung emeriks 17.05.2018 um 10:16:02 Uhr
Goto Top
Hi,
wenn Du von einer Windows CA sprichst:
Hier sind die Zertifikate meines Wissens in der DB des CA-Dienst gespeichert.
Im AD sind diese nur veröffentlicht. Die Verteilung auf die Clients erfolgt per GPO.
An Benutzerobjekten kann man Zertifikate "anhängen". Diese werden dann im Attribut "userCertificate" des Benutzerobjekts gespeichert.

Was unter
CN=Public Key Services,CN=Services,CN=Configuration,DC=subdomain,DC=doamin,DC=de
steht sind meines Wissens nur Informationen über die CA und über die Zertifikatsvorlagen.

Schau mal hier: How Certificate Services Works
Dort steht auch etwas über den OID-Container.

E.
emeriks
emeriks 17.05.2018 aktualisiert um 10:50:44 Uhr
Goto Top
Zitat von @136166:
War klar, das von dir nur Müll als Rückantwort kommt.
Hallo?!

Edit: Immerhin hat es Dich ja dazu bewogen, Deinen Kommentar nachträglich um "(Wiederruft)" zu ergänzen. Aber ohne, dass man das erkennt.
Edit 2: Wobei man "Widerruf" mit kurzem i schreibt ...
136166
136166 17.05.2018 um 10:18:26 Uhr
Goto Top
Zitat von @emeriks:
Hallo?!
Kuckuck.
RalphT
RalphT 17.05.2018 um 10:29:09 Uhr
Goto Top
Zitat von @emeriks:

Hi,
wenn Du von einer Windows CA sprichst:
Hier sind die Zertifikate meines Wissens in der DB des CA-Dienst gespeichert.
Im AD sind diese nur veröffentlicht. Die Verteilung auf die Clients erfolgt per GPO.
An Benutzerobjekten kann man Zertifikate "anhängen". Diese werden dann im Attribut "userCertificate" des Benutzerobjekts gespeichert.

Was unter
CN=Public Key Services,CN=Services,CN=Configuration,DC=subdomain,DC=doamin,DC=de
steht sind meines Wissens nur Informationen über die CA und über die Zertifikatsvorlagen.

Schau mal hier: How Certificate Services Works
Dort steht auch etwas über den OID-Container.

E.

Ahh, jetzt kommen wir der Sache schon näher. Ich habe in der AD zwar keine Zertifikate gelöscht, sondern drei Sperrlisten. An den anderen beiden Veröffentlichspunkten unter System32/etc und http-Speicherort hatte ich die Sperrlisten auch entfernt.
Nach kurzer Zeit war alles wieder da. Außer im AD, da fehlten diese drei Sperrlisten.

Dann würde deine Aussage jetzt für mich auch einen Sinn ergeben. Kann das sein, dass man in der CA selber dort mit certutil -deletrow weiterkommt?

Nur mal eben zum Hintergrund:

Ich habe hier eine Testumgebung mit einer zweistufigen-CA. Das Zertifizierungsstellenzertifikat (was für ein Wort) habe ich mehrmals erneuert. Dass man das in der Praxis nicht in einer Woche 5 Mal macht, ist mir schon klar. Ich hatte nur gesehen, dass unter C:\Windows\System32\certsrv\CertEnroll sich dann die Zertifikate und deren Sperrlisten häufen. Ich wollte einfach nur wissen, wie, bzw. wo man die löschen kann.
RalphT
RalphT 17.05.2018 um 10:31:11 Uhr
Goto Top
Die Aussage von Kabelbruch (revoken) habe ich aber auch verinnerlicht.
emeriks
Lösung emeriks 17.05.2018 um 10:37:55 Uhr
Goto Top
Kann das sein, dass man in der CA selber dort mit certutil -deletrow weiterkommt?
Ich habe es selbst noch nicht probiert, aber ja, die Kommandozeilenhilfe liest sich so.
RalphT
RalphT 17.05.2018 um 10:43:55 Uhr
Goto Top
Jetzt lese ich mir gerade die von dir verlinkte Technetseite durch. Dort ist ja auch eine Grafik, die das sehr schön zeigt.

Da das ja nur eine Testumgebung ist, werde ich das mit certutil - deleterow probieren. Viel falsch machen kann ich da nicht. Dazu ist ja die Testumgebung da.
136166
Lösung 136166 17.05.2018 aktualisiert um 10:49:03 Uhr
Goto Top
https://docs.microsoft.com/en-us/windows-server/administration/windows-c ...

Einfach DeleteRow die Anforderungs-ID übergeben die in der Konsole bei jeder Anforderung steht.

certutil -deleterow <ID>
screenshot
RalphT
RalphT 17.05.2018 um 10:51:26 Uhr
Goto Top
Ja super, das ist ja easy. Dann werde ich das heute noch ausprobieren.

Dann bedanke ich mich bei euch!