Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Zertfikate mit XCA - "Es konnte keine Sperrprüfung für das Zertifikat durchgeführt werden."

Mitglied: scusimarcus

scusimarcus (Level 1) - Jetzt verbinden

27.04.2017 um 15:00 Uhr, 3117 Aufrufe, 12 Kommentare, 1 Danke

Hallo!

Mal wieder plagt mich ein Windows-Sicherheitsproblem. Mal wieder ist es scheinbar nirgends dokumentiert.

Es geht um die Zertifikatsbasierte Verschlüsselung von RDP bei Windows Server 2012 in einer Domänenstruktur..
Die Zertifikate wurden NICHT mit AD CS sondern mit XCA erstellt.

Ein Root-CA, eine Intermediate-CA sowie diverse Server-Certs. Vom Intermediate-CA wurde eine Revocation-List erstellt.

Soweit, sogut.

Die Zertifikate der Root-CA und der Zwischen-CA wurden über eine GPO verteilt. Die Server Zertifikate wurden installiert.
Auf dem RemoteDesktopServer1 (Broker, Web Access, Session Host) lade ich die Zertifikate, für Web Access sowie für die Farm, in die Bereitstellungseigentschaften rein.
Ausserdem werden die jeweiligen Server-Zertifikate als Session-Host-Zertifikate konfiguriert.

Auf dem RemoteDesktopServer1 läuft, bedingt durch die Web Access-Rolle, auch ein Webserver. Ich möchte über diesen die Revocationliste an alle anderen Server zum Download bereitstellen/verfügbar machen. Die Zertifikate haben alle bereits im "Sperrlistenverteilungspunkt" die URL , z.B. http://remotedesktopserver1/crl/sperrliste.crl, enthalten.
Die Liste kann man von mir als Benutzer ohne Probleme, druch aufrufen der URL, von jeder Maschine im Netz aus, heruntergeladen werden.

Dennoch erhalte ich bei jedem aufruf über RDP die im Betreff genannte Warnung.

Habt ihr eine Idee was ich vergessen habe?

Danke und Gruß für eure Hilfe
Marcus
Mitglied: 132895
LÖSUNG 27.04.2017, aktualisiert um 16:44 Uhr
Habt ihr eine Idee was ich vergessen habe?
Die CRL der RootCA?
Checke die CRL aller Certs (auch die der CAs) mit certutil und poste den Output
certutil -verify -urlfetch test.cer
https://blogs.technet.microsoft.com/pki/2006/11/30/basic-crl-checking-wi ...

Gruß
Bitte warten ..
Mitglied: scusimarcus
27.04.2017, aktualisiert 02.05.2017
Hallo,

hier mal die Ausgabe von einem Zertifikat.

Aussteller:
CN=bla_Intermediate_CA
OU=bla
O=blabla
L=Berlin
S=Berlin
C=DE
Namenshash (sha1): 77b7278e2bbe9f058dc061ba82067652408f8f3d
Namenshash (md5): ee0d0c136a5faa0dac7477529646329d
Antragsteller:
CN=blascrvs01w.blasic.ref
OU=bla
O=blabla
L=Berlin
S=Berlin
C=DE
Namenshash (sha1): e27b363e0df3f10176b8f63bdd66cb222afb59c2
Namenshash (md5): 77764a14b9fef22131d2d71113f8f0b7
Zertifikatseriennummer: 0f

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)

CertContext[0][0]: dwInfoStatus=104 dwErrorStatus=1000040
Issuer: CN="bla_Intermediate_CA ", OU=bla, O=blabla, L=Berlin, S=Berlin, C=DE
NotBefore: 27.04.2017 02:00
NotAfter: 27.04.2027 01:59
Subject: CN=blascrvs01w.blasic.ref, OU=bla, O=blabla, L=Berlin, S=Berlin, C=DE
Serial: 0f
1360db498e16f3ef12fa8320610fa19ba387d95b
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
---------------- Zertifikat abrufen ----------------
Keine URLs "Keine" Zeit: 0
---------------- Zertifikat abrufen ----------------
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Für die Clientauthentifizierung ist ein Zertifikat erforderlich. 0x80072f0c (INet: 12044 ERROR_INTERNET_CLIENT_AUTH_CERT_NEEDED)
https://blascrvs01w.blasic.ref/crl/WNSIC_Intermediate_CA.crl

---------------- Zertifikat-OCSP ----------------
Keine URLs "Keine" Zeit: 0
--------------------------------
Application[0] = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung
Application[1] = 1.3.6.1.5.5.7.3.2 Clientauthentifizierung
Application[2] = 1.3.6.1.5.5.7.3.5 IP-Sicherheitsendsystem

CertContext[0][1]: dwInfoStatus=104 dwErrorStatus=1000040
Issuer: CN=blub_Root-CA, OU=blub, O=blubblubb, L=Dortmund, S=NRW, C=DE
NotBefore: 27.04.2017 02:00
NotAfter: 27.04.2047 01:59
Subject: CN="blaSIC_Intermediate_CA ", OU=bla, O=blabla, L=Berlin, S=Berlin, C=DE
Serial: 0b
56e919a44d8296f50b5433043c184adcbf3a559d
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
---------------- Zertifikat abrufen ----------------
Keine URLs "Keine" Zeit: 0
---------------- Zertifikat abrufen ----------------
Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen der URL: Für die Clientauthentifizierung ist ein Zertifikat erforderlich. 0x80072f0c (INet: 12044 ERROR_INTERNET_CLIENT_AUTH_CERT_NEEDED)
https://blascrvs01w.blasic.ref/crl/blasic_intermediate_ca.crl

---------------- Zertifikat-OCSP ----------------
Keine URLs "Keine" Zeit: 0
--------------------------------

CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0
Issuer: CN=blub_Root-CA, OU=blub, O=blubblub, L=Dortmund, S=NRW, C=DE
NotBefore: 25.04.2017 02:00
NotAfter: 25.04.2052 01:59
Subject: CN=blub_Root-CA, OU=blub, O=blubblub, L=Dortmund, S=NRW, C=DE
Serial: 01
95b4ac02daa7d66f9c2271538152ef40aa08ad71
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
---------------- Zertifikat abrufen ----------------
Keine URLs "Keine" Zeit: 0
---------------- Zertifikat abrufen ----------------
Keine URLs "Keine" Zeit: 0
---------------- Zertifikat-OCSP ----------------
Keine URLs "Keine" Zeit: 0
--------------------------------

Exclude leaf cert:
3c1d4ef9c251c428b7dd6b6990bb75bd14ab0c2a
Full chain:
581e49662f521e46a627c24a25901528c1246919
Issuer: CN="blaSIC_Intermediate_CA ", OU=bla, O=blabla, L=Berlin, S=Berlin, C=DE
NotBefore: 27.04.2017 02:00
NotAfter: 27.04.2027 01:59
Subject: CN=blascrvs01w.blasic.ref, OU=bla, O=blabla, L=Berlin, S=Berlin, C=DE
Serial: 0f
1360db498e16f3ef12fa8320610fa19ba387d95b
Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
Sperrungsüberprüfung übersprungen -- Server ist offline

FEHLER: Die Sperrstatusüberprüfung des untergeordneten Zertifikats hat Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) zurückgegeben.
CertUtil: Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.

CertUtil: -verify-Befehl wurde erfolgreich ausgeführt.
Bitte warten ..
Mitglied: 132895
27.04.2017, aktualisiert 28.04.2017
Zitat von scusimarcus:
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
Die CRL der CA kann nicht abgerufen werden!
Fehler beim Abrufen der URL: Für die Clientauthentifizierung ist ein Zertifikat erforderlich. 0x80072f0c (INet: 12044 ERROR_INTERNET_CLIENT_AUTH_CERT_NEEDED)
https://goewnscrvs01w.goewnsic.ref/crl/WNSIC_Intermediate_CA.crl
Hast du im IIS die zwingende Authentifizierung per Client-Zertifikate aktiviert? Das darf natürlich nicht aktviert sein da die CRL ansonsten nicht abgerufen werden kann! Und per HTTPS geht das sowieso nicht!!!

Ahh.. jetzt weiß ich auch warum:
Zitat:
Auf dem RemoteDesktopServer1 läuft, bedingt durch die Web Access-Rolle, auch ein Webserver. Ich möchte über diesen die Revocationliste an alle anderen Server zum Download bereitstellen/verfügbar machen.
Der hat vermutlich bei euch die Einstellung im IIS gesetzt...


Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
Sperrungsüberprüfung übersprungen -- Server ist offline
Deswegen auch die Meldung das der Sperrserver offline ist, weil die URL nicht ohne jegliche Restriktionen abgerufen werden kann. Also nehme alle Restriktionen im IIS raus, oder lege eine zweite Site an wenn in das in dieser IIS Site gefordert ist, oder lege die CRL auf einen anderen öffentlich abrufbaren Server.

Bevor du hier keine Positiv-Meldung über den Abruf der CRL erhältst brauchst du gar nicht bei deinen RDP-Servern weiter machen.
Bitte warten ..
Mitglied: scusimarcus
28.04.2017 um 09:46 Uhr
Vielen Dank für deine Antwort und Denkanstoss.

Ich schau mal was sich dort machen lässt. Kenne mich mit dem IIS nur nicht wirklich aus.

Ist es den prinzipiell eher eine schlechte Idee die CRL über einen HTTPS link verteilen zu wollen?

Gruß
Bitte warten ..
Mitglied: 132895
LÖSUNG 28.04.2017, aktualisiert um 09:55 Uhr
Ist es den prinzipiell eher eine schlechte Idee die CRL über einen HTTPS link verteilen zu wollen?
Logisch, über https geht das ja sowieso nicht
https://blogs.technet.microsoft.com/enterprisemobility/2009/05/01/how-to ...

Hatte ich in deinen URLs vollkommen übersehen, sorry.
Bitte warten ..
Mitglied: scusimarcus
28.04.2017, aktualisiert um 10:20 Uhr
Zitat von 132895:

Ist es den prinzipiell eher eine schlechte Idee die CRL über einen HTTPS link verteilen zu wollen?
Logisch, über https geht das ja sowieso nicht
https://blogs.technet.microsoft.com/enterprisemobility/2009/05/01/how-to ...

Hatte ich in deinen URLs vollkommen übersehen, sorry.


Oh ok, das macht irgendwie auch Sinn. Vielen Dank für den Hinweis!!! Wobei die Sperrlistenprüfung ja perse erfolgt zu sein scheint, siehe meinen Post darüber a la "Falscher Aussteller" ?
Bitte warten ..
Mitglied: 132895
28.04.2017, aktualisiert um 10:36 Uhr
Zitat von scusimarcus:
Wobei die Sperrlistenprüfung ja perse erfolgt zu sein scheint, siehe meinen Post darüber a la "Falscher Aussteller" ?
Nein, das falscher Aussteller ist ja das Problem. Die Übersetzung ist da wohl etwas missglückt. Fakt ist CRLs nur per http zum Abruf bereit zu stellen, denn die Dienste die die CRLs abrufen sind meist auf https-Abrufe der CRLs nicht ausgelegt und die Prüfung schlägt dann fehl.
Es ist ein Henne-Ei Problem: wenn der Client erst die CRLs der Sperrserver überprüfen würde das irgendwann in einem Loop enden.
Bitte warten ..
Mitglied: scusimarcus
28.04.2017 um 12:07 Uhr
Soeben habe ich alle Zertifikate neu erstellt und mit entsprechend neuem http-link zur CRL versehen.
Es wurde auch eine neue Website auf dem IIS angelegt.
Das Problem bleibt laut CERTUTIL bestehen aber ich erhalte beim mstsc-Aufruf keine Fehlermeldung mehr a la "Sperrlistenprüfung konnte für diesen Server nicht durchgeführt werden".
Bitte warten ..
Mitglied: scusimarcus
28.04.2017 um 13:56 Uhr
Ich bin dem ganzen einen Schritt näher gekommen.

Es scheint, dass die Fehlermeldung "Sperrserver offline" daher rührt dass ich keine sognenannte Deltasperrliste zur Verfügung stelle. Was hat es damit auf sich? Wie kann ich das, fernab einer Windows CA, erstellen?

Danke und Gruß
Bitte warten ..
Mitglied: scusimarcus
02.05.2017 um 09:36 Uhr
Das Problem ist gelöst!

Lösung: Ich hatte aus der Root-CA heraus keine CRL für die Sub-CA erstellt. D.h. CRL aus Root-CA generieren und die URL zu dieser CRL in die Sub-CA eintragen. Das gleiche gilt für die Sub-CA -> CRL aus Sub-CA erstellen und die passende URL in die User-/Serverzertifikate eintragen. Et voilá es funktioniert.

Danke und Gruß
Bitte warten ..
Mitglied: 132895
LÖSUNG 02.05.2017, aktualisiert um 09:39 Uhr
Lösung: Ich hatte aus der Root-CA heraus keine CRL für die Sub-CA erstellt.
Hatte ich ja schon im aller ersten Post erwähnt
Bitte warten ..
Mitglied: scusimarcus
02.05.2017 um 09:41 Uhr
Ah ok, naja, das habe ich dann wohl missverstanden... Danke!
Bitte warten ..
Ähnliche Inhalte
E-Mail
SMIME und XCA
gelöst Frage von CyborgWeaselE-Mail10 Kommentare

Hallo Leute, ich habe mich ein wenig bzgl. SMIME im Netz ungesehen und ich denke die Theorie ist soweit ...

Verschlüsselung & Zertifikate
Zertifikate mit XCA-Tool (Windows RDP)
Frage von supertuxVerschlüsselung & Zertifikate5 Kommentare

Hallo, verwendet hier jemand das XCA-Tool für Zertifikate? Ich würde gerne zwischen 2 PCs mit Windows 10 Pro (RDP) ...

Verschlüsselung & Zertifikate

Asymmetrische Verschlüsselung mit XCA (Offline CA)

Frage von H4rdQu0r3Verschlüsselung & Zertifikate2 Kommentare

Hallo Leute, Um mich kurz zu fassen. Ich möchte: -VPN einrichten mit OpenVPN (der professionellen Lösung mit Access Server) ...

Exchange Server

Exchange 2010 per Zertfikat auf den Smartphones authentifizieren

Frage von Leo-leExchange Server4 Kommentare

Hallo Forum, wie geht ihr mit dem Thema um, wenn das Passwort abgelaufen ist und die Kollegen , bevor ...

Neue Wissensbeiträge
Sicherheits-Tools

Erfahrungsbericht - TrendMicro WFBS Advanced v10.0 (aktuelles Patchlevel) und neues Windows 10 2004 als Funktionsupgrade

Anleitung von VGem-e vor 10 StundenSicherheits-Tools2 Kommentare

Servus Kollegen, grad bei einer Außenstelle mit TrendMicro WFBS Advanced v10.0 das Funktionsupgrade für Windows 10 2004 testweise in ...

Netzwerkgrundlagen

IPv6: pfSense hinter Fritz!Box 6360 (Kabel Deutschland)

Anleitung von FA-jka vor 11 StundenNetzwerkgrundlagen5 Kommentare

Hallo, Vorab Ich beschreibe hier lediglich die IPv6-Anbindung. Informationen zu IPv4 sollten selbsterklärend sein. In meinem Szenario verwende ich ...

Grafik

Performance von Onboard Grafik mit DualChannel RAM verbessern

Anleitung von NetzwerkDude vor 13 StundenGrafik

Moin, das ist ist Hardwarekreisen natürlich ein alter Hut, aber falls ihr vom Chef nen RAM-Riegel bekommt fürs Notebook ...

Windows 10

Windows 10 Mai 2020 Update ab sofort verfügbar

Information von Frank vor 13 StundenWindows 101 Kommentar

Microsoft hat das Windows 10 Mai 2020 Update mit integriertem Linux-Kernel und Cortana-Updates veröffentlicht. Auch Windows Server 10 Version ...

Heiß diskutierte Inhalte
Weiterbildung
Umschulung zum FISI
gelöst Frage von Sabo86Weiterbildung29 Kommentare

Hallo zusammen, kurz zu mir: ich bin 33 und möchte in Zukunft im Bereich Systemadministration arbeiten. Da ich vor ...

TK-Netze & Geräte
Günstige Telefonanlagen Lösung für 5 Mitarbeiter
Frage von WashingtonTK-Netze & Geräte25 Kommentare

Hi, eine kleine Firma mit nur einem Standort bezieht eine Bürofläche, als Provider wurde die Telekom favorisiert. Es steht ...

Tipps & Tricks
Kostenlose alternative zu Teamviewer
Frage von andyw5Tipps & Tricks21 Kommentare

Moin an alle, kann mir jemand eine kostenlose einfache alternative zum Teamviewer/Fastviewer nennen? Wie möchten einen PC Win7/10 aus ...

Windows 10
Windows 10 Version 200"4"
gelöst Frage von SarekHLWindows 1019 Kommentare

Guten Morgen zusammen, weiß jemand, wann das MediaCreationTool für die Version 200"4" veröffentlicht wird, oder wo man es evtl. ...