m8ichael
Goto Top

Terminalserver - Sperrprüfung für Zertifikat schlägt fehlt

Hallo,

ich stehe gerade auf dem Schlauch. Ich musste die Zertifizierungsstelle auf einem Server (Windows 2012 R2) neu installieren. Hierzu habe ich die bestehende Zertifizierungsstelle gesichert und nach der Neuinstallation wiederhergestellt. Dies hat augenscheinlich auch ohne Probleme funktioniert.

Allerdings erhalte ich nun beim Herstellen einer RDP-Verbindung stets den Fehlerhinweis, dass die Sperrliste des Zertifikats nicht abgerufen werden kann ("Es konnte keine Sperrprüfung für das Zertifikat durchgeführt werden". Dieses Problem tritt dabei nur bei Clients auf, die nicht der Domäne angehören.

In dem entsprechenden Zertifikat wurden dabei zwei Punkte für die Sperrliste angegeben: Ein Punkt verweist auf einen internen Pfad, der nur innerhalb des Netzwerkes aufrufbar ist (also nicht öffentlich) und der andere Punkt verweist auf einen öffentlich zugänglichen Speicherort.

[1]Sperrlisten-Verteilungspunkt
     Name des Verteilungspunktes:
          Vollst. Name:
               URL=http://Server.local/CertEnroll/SERVER-CA.crl
               URL=http://mydomain.com/certs/SERVER-CA.crl

Beide Orte sind per Browser erreichbar und die CRLs können heruntergeladen werden bzw. zumindest ist der zweite Speicherort erreichbar, wenn sich der anfragende Client außerhalb des internen Netzwerkes befindet.

Wenn ich nun per certutil eine Analyse vornehmen (bei bestehenden VPN-Verbindung mit einem Nicht-Domänen-PC), dann wird der öffentlich zugängliche Pfad stets als "veraltet" angezeigt:

Aussteller:
    CN=SERVER-CA
  Namenshash (sha1): 03c1c0b6302cbddfadbbd8df42ad579af07bdfc4
  Namenshash (md5): 40c5c20e646db38c963168d2d064a368
Antragsteller:
  Namenshash (sha1): 9bcc7695d9d417e9cbc7a3463145291cf9a9a44e
  Namenshash (md5): 25525fbda23877a668029926ae3f8926
Zertifikatseriennummer: 16000001a4fdf79ed398c50a1f0000000001a4

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwRevocationFreshnessTime: 15 Hours, 26 Minutes, 51 Seconds

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwRevocationFreshnessTime: 15 Hours, 26 Minutes, 51 Seconds

CertContext: dwInfoStatus=102 dwErrorStatus=0
  Issuer: CN=SERVER-CA
  NotBefore: 10.12.2021 08:51
  NotAfter: 10.12.2023 08:51
  Serial: 16000001a4fdf79ed398c50a1f0000000001a4
  Template: 1.3.6.1.4.1.311.21.8.6663297.16307847.14240664.1944806.16065098.243.14131219.10028266
  Cert: f9f48a0b89c8ea7f89bdfd1afa220016a82dfc11
  Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
  ----------------  Zertifikat abrufen  ----------------
  Keine URLs "Keine" Zeit: 0 (null)  
  ----------------  Zertifikat abrufen  ----------------
  Überprüft "Basissperrliste (081b)" Zeit: 0 8806619fc6ce950919e22fa118fcb9961d33e06d  
    [0.0] http://Server.local/CertEnroll/SERVER-CA.crl

  Überprüft "Deltasperrliste (081b)" Zeit: 0 2afb1c09504b007e722819aacbfc22da8f7453cb  
    [0.0.0] http://Server.local/CertEnroll/SERVER-CA+.crl

  Basissperrliste veraltet "Deltasperrliste (081b)" Zeit: 0 8806619fc6ce950919e22fa118fcb9961d33e06d  
    [0.0.1] http://mydomain.com/certs/SERVER-CA.crl

  Überprüft "Basissperrliste (081b)" Zeit: 0 8806619fc6ce950919e22fa118fcb9961d33e06d  
    [1.0] http://mydomain.com/certs/SERVER-CA.crl

  Überprüft "Deltasperrliste (081b)" Zeit: 0 2afb1c09504b007e722819aacbfc22da8f7453cb  
    [1.0.0] http://Server.local/CertEnroll/SERVER-CA+.crl

  Basissperrliste veraltet "Deltasperrliste (081b)" Zeit: 0 8806619fc6ce950919e22fa118fcb9961d33e06d  
    [1.0.1] http://mydomain.com/certs/SERVER-CA.crl

  ----------------  Basissperrliste veraltet  ----------------
  OK "Deltasperrliste (081c)" Zeit: 0 2afb1c09504b007e722819aacbfc22da8f7453cb  
    [0.0] http://Server.local/CertEnroll/SERVER-CA+.crl

  OK "Basissperrliste (081b)" Zeit: 0 8806619fc6ce950919e22fa118fcb9961d33e06d  
    [1.0] http://mydomain.com/certs/SERVER-CA.crl

  OK "Deltasperrliste (081b)" Zeit: 0 2afb1c09504b007e722819aacbfc22da8f7453cb  
    [1.0.0] http://Server.local/CertEnroll/SERVER-CA+.crl

  Basissperrliste veraltet "Deltasperrliste (081b)" Zeit: 0 8806619fc6ce950919e22fa118fcb9961d33e06d  
    [1.0.1] http://mydomain.com/certs/SERVER-CA.crl

  ----------------  Zertifikat-OCSP  ----------------
  Keine URLs "Keine" Zeit: 0 (null)  
  --------------------------------
    CRL 081b:
    Issuer: CN=SERVER-CA
    ThisUpdate: 10.12.2021 18:34
    NextUpdate: 18.12.2021 06:54
    CRL: 8806619fc6ce950919e22fa118fcb9961d33e06d
    Delta CRL 081c:
    Issuer: CN=SERVER-CA
    ThisUpdate: 10.12.2021 19:04
    NextUpdate: 12.12.2021 07:24
    CRL: 2afb1c09504b007e722819aacbfc22da8f7453cb
  Application = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung

CertContext[1]: dwInfoStatus=10c dwErrorStatus=0
  Issuer: CN=SERVER-CA
  NotBefore: 11.03.2017 20:26
  NotAfter: 03.03.2057 20:26
  Subject: CN=SERVER-CA
  Serial: 1196f98eddbc539d4c08ff32266d8700
  Cert: 886cc60928d4af4539d990cfc2129def12ace393
  Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
  Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
  ----------------  Zertifikat abrufen  ----------------
  Keine URLs "Keine" Zeit: 0 (null)  
  ----------------  Zertifikat abrufen  ----------------
  Keine URLs "Keine" Zeit: 0 (null)  
  ----------------  Zertifikat-OCSP  ----------------
  Keine URLs "Keine" Zeit: 0 (null)  
  --------------------------------

Exclude leaf cert:
  Chain: 42eb80071a91fac95bc150c5742c67c1d11aee3c
Full chain:
  Chain: be3d29199c895886b51d035fa696694fe07e1cf2
------------------------------------
Verfizierte Ausstellungsrichtlinien: Kein
Verfizierte Anwendungsrichtlinien:
    1.3.6.1.5.5.7.3.1 Serverauthentifizierung
Sperrstatussüberprüfung des untergeordneten Zertifikats erfolgreich abgeschlossen.
CertUtil: -verify-Befehl wurde erfolgreich ausgeführt.

Liegt hier das Problem? Tatsächlich sind die beiden CRLs (intern wie extern) exakt identisch. Wo liegt hier mein Denkfehler?

Viele Grüße

Michael

Content-ID: 1608623883

Url: https://administrator.de/contentid/1608623883

Ausgedruckt am: 22.11.2024 um 12:11 Uhr

lcer00
Lösung lcer00 11.12.2021 um 12:03:53 Uhr
Goto Top
Hallo,

Versuch mal den Zertifikats Cacheauf den Clients zu löschen.
https://mssec.wordpress.com/2013/04/09/delete-local-crl-cache-in-windows ...

 certutil -setreg chain\ChainCacheResyncFiletime @now 
Grüße

lcer
m8ichael
m8ichael 11.12.2021 um 13:00:12 Uhr
Goto Top
Das war's! Danke!! Hatte den Cache zwar schon zu einem früheren Zeitpunkt gelöscht, aber jetzt hat's funktioniert!