Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Windows CA - gesperrte Zertifikate - Dauer bis Client das mitbekommt

Mitglied: emeriks

emeriks (Level 5) - Jetzt verbinden

11.07.2018, aktualisiert 15:07 Uhr, 550 Aufrufe, 7 Kommentare, 1 Danke

Hi,
wie der Titel schon aussagt: Es geht um gesperrte Zertifikate in eine Windows Umgebung mit Windows Zertifizierungsstelle

Setup
  • Windows Server 2008 R2 Enterprise Server mit Zertifizierungstelle
  • Zertifizierungstelle ist die einzige, also Root + ausstellende Stelle.
  • CA ist AD-integriert
  • Client mit Windows 10 Prof 1806

Zustand
  • Client hat (bisher) gültiges Zertifikat von Standardvorlage "Computer"
  • Dieses Zertifikat wurde an der CA gesperrt
  • die Sperrliste wurde neu veröffenlicht (im AD)
  • Client meldet das Zertifikat immer noch als gültig

Das Zertifikat
  • wurde in 11/17 erstellt und in den lokalen Zertifikatspeicher des Clients (Local Machine) gespeichert.
  • gilt bis 11/18 (Ablaufdatum)
  • wurde gestern Nachmittag manuell an der CA gesperrt

Die Sperrliste
  • wurde gestern nach dem Sperren des o.g. Zertikats an der CA neu veröffentlicht
  • das zugehörige AD-Objekt in der Configuration Partition wurde aktualisiert ("whenChanged" überprüft)
  • kann vom Client mit CERTUTIL als Datei heruntergeladen werden
  • enthält die Seriennummer des o.g. Zertifikats (heruntergeladene Datei mit Hex-Editor überprüft)

Wenn ich am Client die MMC "Zertifikate" öffne und in den Speicher des Computers schaue, dann wird dort das o.g. Zertifikat nach wie vor als gültig angezeigt. Ist das normal?
Der Client wurde schon mehrmals durchgestartet und auch "gpupdate /force" ausgeführt.
Die Sperrung des Zertifikats ist jetzt vor 22 h erfolgt.

Wie lange dauert es, bis ein Computer ein gesperrtes Zertifikat als solches erkennt?
Wo kann man sehen, mit welcher Sperrliste der Computer z.Z. arbeitet? (lokale Kopie im Cache?)

E.



Mitglied: lcer00
11.07.2018 um 14:52 Uhr
Hallo,

sind im Zertifikat auch die Informationen zur Sperrliste enthalten?

Grüße

lcer
Bitte warten ..
Mitglied: emeriks
11.07.2018, aktualisiert um 14:58 Uhr
Zitat von lcer00:
sind im Zertifikat auch die Informationen zur Sperrliste enthalten?
Ja. Da steht sowas drin (verfremdet)

01.
[1]Sperrlisten-Verteilungspunkt
02.
     Name des Verteilungspunktes:
03.
          Vollst. Name:
04.
               URL=ldap:///CN=XXXXXXCA01,CN=XXXXXXCA01,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN,DC=TLD?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=JXXXXXXCA01,CN=XXXXXXCA01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=DOMAIN,DC=TLD?certificateRevocationList?base?objectClass=cRLDistributionPoint)
Edit:
Das ist auch das o.g. AD-Objekt, welches ich überprüft habe.
Bitte warten ..
Mitglied: colinardo
11.07.2018, aktualisiert um 15:42 Uhr
Siehe:
https://www.msxfaq.de/signcrypt/crl.htm#crl_cache_auf_dem_client
Wie lange dauert es, bis ein Computer ein gesperrtes Zertifikat als solches erkennt?
Bis er die CRL nach dem Datum das in der Sperrliste steht, aktualisiert.
Wo kann man sehen, mit welcher Sperrliste der Computer z.Z. arbeitet? (lokale Kopie im Cache?)
certutil -URLcache crl
certutil -URLcache ocsp
Um einen User bei z.B. bei Abhanden kommen eines Gerätes zuverlässig auszusperren sollte man immer erst einmal das zugehörige Konto deaktivieren. Der Grund: Auch andere Server können noch veraltete Sperrlisten und Token-Caches nutzen und das Zertifikat weiterhin als gültig annehmen. Sperrlisten für solche Szenarien sollte man ebenfalls mit kurzen Intervallen und Ablaufdaten versehen.

Zusätzlich gilt es einen weiteren Cache zu beachten (TLS Handle Expiry Time) wenn man die Zertifikate im Zusammenhang mit dem NPS nutzt:
Manage Certificates Used with NPS


Grüße Uwe
Bitte warten ..
Mitglied: emeriks
11.07.2018 um 16:23 Uhr
Hallo Uwe,
erstmal: Danke.

Um einen User bei z.B. bei Abhanden kommen eines Gerätes zuverlässig auszusperren sollte man immer erst einmal das zugehörige Konto deaktivieren. Der Grund: Auch andere Server können noch veraltete Sperrlisten und Token-Caches nutzen und das Zertifikat weiterhin als gültig annehmen. Sperrlisten für solche Szenarien sollte man ebenfalls mit kurzen Intervallen und Ablaufdaten versehen.
Das ist klar.
Bei mir geht es erstmal nur um einen Test.
Wir wollen eine CA ablösen, von welcher noch Zertifikate im Umlauf sind, welche bis 2022 gelten. Wir haben zwar schon die Vorlagen von der CA entfernt, sodass diese keine neuen Zertifikate mehr verteilen kann, aber wir würden diese gerne komplett abschalten.
Ich dachte mir, wenn ich die ausgestellten Zertifikate sperre, dann würden die Clients das mitbekommen und sich bei Bedarf ein neues Zertifikat von der neuen Zertifizierungsstelle holen.

Ja, danke, das ist sehr gut zu wissen.
Wenn ich das betreffende Zertifikat exportiere und dann damit überprüfe, dann kommt für "Basissperrliste" und "Deltasperrliste" ein "Überprüft". Die dort genannte URL ist dann auch genau jene, welche ich oben schon gepostet habe.

certutil -URLcache crl
certutil -URLcache ocsp
Da liefert er mir nichts zur internen CA.
01.
C:\Windows\system32>certutil -URL http://test
02.
CertUtil: -URL-Befehl wurde erfolgreich ausgeführt.
03.
 
04.
C:\Windows\system32>certutil -URLcache crl
05.
 
06.
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/pinrulesstl.cab
07.
 
08.
WinHttp-Cacheeinträge: 1
09.
 
10.
CertUtil: -URLCache-Befehl wurde erfolgreich ausgeführt.
11.
 
12.
C:\Windows\system32>certutil -URLcache ocsp
13.
http://ocsp.omniroot.com/baltimoreroot/MEUwQzBB..........7RVZ7LBduom%2FnYB45.....MIJHWMys%2BghUNoZ........BAcnonY%3D
14.
 
15.
http://ocsp.digicert.com/MFEw.......0V27RVZ7LBduom%2FnYB4......IJHWMys%2BghUNo......SRETRSlgpHeuVI%3D
16.
 
17.
http://ocsp.digicert.com/MFEwTzB..........gUABBTBL0V27RVZ7LBduom%2FnYB45.......Mys%2BghUNoZ7O......Tf7jUSfg%2BhWk%3D
18.
 
19.
http://ocsp.int-x3.letsencrypt.org/MFMw.......ABBR%2B5mrncpqz%2FPiiIG.....brm0Tm3pkVl7%2FOo7K......Nll1QQ%3D%3D
20.
 
21.
http://isrg.trustid.ocsp.identrust.com/MFEwTzBN........rb4UuQdf%2FEFWC.....C4Xspwg%3D
22.
 
23.
WinHttp-Cacheeinträge: 5
24.
 
25.
****  OFFLINE  ****
26.
 
27.
CertUtil: -URLCache-Befehl wurde erfolgreich ausgeführt.
Bitte warten ..
Mitglied: emeriks
11.07.2018 um 16:43 Uhr
Update:

habe jetzt mit
01.
certutil -URL ldap:///CN=JXXXXXXCA01,CN=XXXXXXCA01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=DOMAIN,DC=TLD?certificateRevocationList?base?objectClass=cRLDistributionPoint
direkt die CRL angesprochen. Da meldet er mir für beide Listen "OK". Anschließend hat er mir diese auch bei
01.
certutil -URLcache crl 
angezeigt.

Es ändert aber nichts daran, das er sein eigenes Zertifikat nach wie vor als gültig anzeigt ...
Bitte warten ..
Mitglied: colinardo
LÖSUNG 11.07.2018, aktualisiert um 17:11 Uhr
Zitat von emeriks:
Es ändert aber nichts daran, das er sein eigenes Zertifikat nach wie vor als gültig anzeigt ...
Daran wird sich in der MMC auch nichts ändern da kannst du kloppen und hämmern wo du willst, denn sie ist dumm und checkt die Zertifikate selbst nicht gegen die CRLs .
Certutil.exe is the command-line tool to verify certificates and CRLs. To get reliable verification results, you must use certutil.exe because the Certificate MMC Snap-In does not verify the CRL of certificates. A certificate might be wrongly shown in the MMC snap-in as valid but once you verify it with certutil.exe you will see that the certificate is actually invalid.
Die CMD (certutil) hingegen sollte es zeigen nachdem der Cache geleert wurde.
certutil -f –urlfetch -verify [FilenameOfCertificate]
Bitte warten ..
Mitglied: emeriks
11.07.2018 um 17:25 Uhr
Danke Uwe, das war's!

01.
certutil -f -urlfetch -verify  d:\temp\test.cer
liefert

01.
........
02.
Das Zertifikat wurde gesperrt. 0x80092010 (-2146885616 CRYPT_E_REVOKED)
03.
------------------------------------
04.
Das Zertifikat ist GESPERRT.
05.
Untergeordnetes Zertifikat wurde gesperrt (Grund=4)
Bitte warten ..
Ähnliche Inhalte
Exchange Server

Entferntes Zertifikat wird vom Client verwendet

Frage von Tacker32Exchange Server6 Kommentare

Hallo, ich habe einen SBS 2011 und ein Zertifikat mit falschem Namen ausgestellt. Dieses habe ich im IIS unter ...

Verschlüsselung & Zertifikate

KRA Zertifikat auf dem Client nicht verfügbar

gelöst Frage von SnipesVerschlüsselung & Zertifikate1 Kommentar

Hallo @ All, ich habe ein Problem in meiner interenen Zertifikatsumgebung (zweistufiger Betrieb). Ich bin momentan dabei für die ...

Windows Server

Zertifikat Windows Home Server

Frage von Huibuh2010Windows Server7 Kommentare

Hallo liebe Admins, ich hab von mein Vorgänger ein Kunden übernommen und nun kommt bei der RDP Verbindung eine ...

Firewall

PFsense 2.4 Squid Reverse Proxy mit Client Zertifikat

gelöst Frage von horstvogelFirewall7 Kommentare

Hallo, hinter meiner Pfsense laufen 2 Webserver, einmal Nextcloud und einmal ein Apache Tomcat. Läuft alles prima. "Abgesichert" über ...

Neue Wissensbeiträge
iOS
WatchChat für Whatsapp
Tipp von Criemo vor 2 TageniOS3 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor !!!
Tipp von Criemo vor 3 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Off Topic
Avengers 4: Endgame - Erster Trailer
Information von Frank vor 5 TagenOff Topic2 Kommentare

Ich weiß es ist Off Topic, aber ich freue mich auf diesen Film und vielleicht geht es anderen hier ...

Webbrowser
Microsoft bestätigt Edge mit Chromium-Kern
Information von Frank vor 5 TagenWebbrowser5 Kommentare

Microsoft hat nun in seinem Blog bestätigt, dass die nächste Edge Version kein EdgeHTML mehr für die Darstellung benutzen ...

Heiß diskutierte Inhalte
Hosting & Housing
VMware VM mit über 1TB RAM für S4HANA
gelöst Frage von Leo-leHosting & Housing24 Kommentare

Hallo zusammen, wer hat Erfahrng und kann mir einen Tipp zum sizing von S4HANA Systemen geben? Wir möchten, zunächst ...

LAN, WAN, Wireless
WLAN und Ausmessung - Eine Glaubensfrage?
Frage von ptr2brainLAN, WAN, Wireless23 Kommentare

Liebe Experten, als Sys-Admin habe ich mir schon öfter die Frage gestellt, ob es sich beim Thema WLAN und ...

Drucker und Scanner
SW-Laserdrucker mit sechs Papierfächern gesucht
Frage von MOS6581Drucker und Scanner19 Kommentare

Moin, zur Abwechslung mal eine sonderbare Anforderung :) Ich suche einen S/W Laserdrucker (kein MFP), der sechs Papierfächer bzw. ...

Virtualisierung
Gebrauchte Server Hardware als Virtualisierungs-"Spielwiese"?
Frage von NixVerstehenVirtualisierung19 Kommentare

Einen wunderschönen guten Morgen zusammen, ich möchte mich gerne etwas tiefer mit dem Thema Virtualisierung beschäftigen und dazu ein ...