Zertfikate mit XCA - "Es konnte keine Sperrprüfung für das Zertifikat durchgeführt werden."
Hallo!
Mal wieder plagt mich ein Windows-Sicherheitsproblem. Mal wieder ist es scheinbar nirgends dokumentiert.
Es geht um die Zertifikatsbasierte Verschlüsselung von RDP bei Windows Server 2012 in einer Domänenstruktur..
Die Zertifikate wurden NICHT mit AD CS sondern mit XCA erstellt.
Ein Root-CA, eine Intermediate-CA sowie diverse Server-Certs. Vom Intermediate-CA wurde eine Revocation-List erstellt.
Soweit, sogut.
Die Zertifikate der Root-CA und der Zwischen-CA wurden über eine GPO verteilt. Die Server Zertifikate wurden installiert.
Auf dem RemoteDesktopServer1 (Broker, Web Access, Session Host) lade ich die Zertifikate, für Web Access sowie für die Farm, in die Bereitstellungseigentschaften rein.
Ausserdem werden die jeweiligen Server-Zertifikate als Session-Host-Zertifikate konfiguriert.
Auf dem RemoteDesktopServer1 läuft, bedingt durch die Web Access-Rolle, auch ein Webserver. Ich möchte über diesen die Revocationliste an alle anderen Server zum Download bereitstellen/verfügbar machen. Die Zertifikate haben alle bereits im "Sperrlistenverteilungspunkt" die URL , z.B. http://remotedesktopserver1/crl/sperrliste.crl, enthalten.
Die Liste kann man von mir als Benutzer ohne Probleme, druch aufrufen der URL, von jeder Maschine im Netz aus, heruntergeladen werden.
Dennoch erhalte ich bei jedem aufruf über RDP die im Betreff genannte Warnung.
Habt ihr eine Idee was ich vergessen habe?
Danke und Gruß für eure Hilfe
Marcus
Mal wieder plagt mich ein Windows-Sicherheitsproblem. Mal wieder ist es scheinbar nirgends dokumentiert.
Es geht um die Zertifikatsbasierte Verschlüsselung von RDP bei Windows Server 2012 in einer Domänenstruktur..
Die Zertifikate wurden NICHT mit AD CS sondern mit XCA erstellt.
Ein Root-CA, eine Intermediate-CA sowie diverse Server-Certs. Vom Intermediate-CA wurde eine Revocation-List erstellt.
Soweit, sogut.
Die Zertifikate der Root-CA und der Zwischen-CA wurden über eine GPO verteilt. Die Server Zertifikate wurden installiert.
Auf dem RemoteDesktopServer1 (Broker, Web Access, Session Host) lade ich die Zertifikate, für Web Access sowie für die Farm, in die Bereitstellungseigentschaften rein.
Ausserdem werden die jeweiligen Server-Zertifikate als Session-Host-Zertifikate konfiguriert.
Auf dem RemoteDesktopServer1 läuft, bedingt durch die Web Access-Rolle, auch ein Webserver. Ich möchte über diesen die Revocationliste an alle anderen Server zum Download bereitstellen/verfügbar machen. Die Zertifikate haben alle bereits im "Sperrlistenverteilungspunkt" die URL , z.B. http://remotedesktopserver1/crl/sperrliste.crl, enthalten.
Die Liste kann man von mir als Benutzer ohne Probleme, druch aufrufen der URL, von jeder Maschine im Netz aus, heruntergeladen werden.
Dennoch erhalte ich bei jedem aufruf über RDP die im Betreff genannte Warnung.
Habt ihr eine Idee was ich vergessen habe?
Danke und Gruß für eure Hilfe
Marcus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 336292
Url: https://administrator.de/forum/zertfikate-mit-xca-es-konnte-keine-sperrpruefung-fuer-das-zertifikat-durchgefuehrt-werden-336292.html
Ausgedruckt am: 23.12.2024 um 14:12 Uhr
12 Kommentare
Neuester Kommentar
Habt ihr eine Idee was ich vergessen habe?
Die CRL der RootCA?Checke die CRL aller Certs (auch die der CAs) mit certutil und poste den Output
certutil -verify -urlfetch test.cer
https://blogs.technet.microsoft.com/pki/2006/11/30/basic-crl-checking-wi ...
Gruß
Die CRL der CA kann nicht abgerufen werden!
Ahh.. jetzt weiß ich auch warum:
Zitat:
Bevor du hier keine Positiv-Meldung über den Abruf der CRL erhältst brauchst du gar nicht bei deinen RDP-Servern weiter machen.
Fehler beim Abrufen der URL: Für die Clientauthentifizierung ist ein Zertifikat erforderlich. 0x80072f0c (INet: 12044 ERROR_INTERNET_CLIENT_AUTH_CERT_NEEDED)
https://goewnscrvs01w.goewnsic.ref/crl/WNSIC_Intermediate_CA.crl
Hast du im IIS die zwingende Authentifizierung per Client-Zertifikate aktiviert? Das darf natürlich nicht aktviert sein da die CRL ansonsten nicht abgerufen werden kann! Und per HTTPS geht das sowieso nicht!!!https://goewnscrvs01w.goewnsic.ref/crl/WNSIC_Intermediate_CA.crl
Ahh.. jetzt weiß ich auch warum:
Zitat:
Auf dem RemoteDesktopServer1 läuft, bedingt durch die Web Access-Rolle, auch ein Webserver. Ich möchte über diesen die Revocationliste an alle anderen Server zum Download bereitstellen/verfügbar machen.
Der hat vermutlich bei euch die Einstellung im IIS gesetzt...Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
Sperrungsüberprüfung übersprungen -- Server ist offline
Deswegen auch die Meldung das der Sperrserver offline ist, weil die URL nicht ohne jegliche Restriktionen abgerufen werden kann. Also nehme alle Restriktionen im IIS raus, oder lege eine zweite Site an wenn in das in dieser IIS Site gefordert ist, oder lege die CRL auf einen anderen öffentlich abrufbaren Server.Sperrungsüberprüfung übersprungen -- Server ist offline
Bevor du hier keine Positiv-Meldung über den Abruf der CRL erhältst brauchst du gar nicht bei deinen RDP-Servern weiter machen.
Ist es den prinzipiell eher eine schlechte Idee die CRL über einen HTTPS link verteilen zu wollen?
Logisch, über https geht das ja sowieso nicht Certificate revocation lists cannot be accessed over HTTPS
Hatte ich in deinen URLs vollkommen übersehen, sorry.
Zitat von @scusimarcus:
Wobei die Sperrlistenprüfung ja perse erfolgt zu sein scheint, siehe meinen Post darüber a la "Falscher Aussteller" ?
Nein, das falscher Aussteller ist ja das Problem. Die Übersetzung ist da wohl etwas missglückt. Fakt ist CRLs nur per http zum Abruf bereit zu stellen, denn die Dienste die die CRLs abrufen sind meist auf https-Abrufe der CRLs nicht ausgelegt und die Prüfung schlägt dann fehl.Wobei die Sperrlistenprüfung ja perse erfolgt zu sein scheint, siehe meinen Post darüber a la "Falscher Aussteller" ?
Es ist ein Henne-Ei Problem: wenn der Client erst die CRLs der Sperrserver überprüfen würde das irgendwann in einem Loop enden.
Lösung: Ich hatte aus der Root-CA heraus keine CRL für die Sub-CA erstellt.
Hatte ich ja schon im aller ersten Post erwähnt