Zertifikatsserver, Sperrliste, UnavailabeConfigDN
Ich setze eine neue Stammzertifizierungsstelle (Root CA) auf und kann deren Sperrliste nicht ins AD importieren (DC=UnavailableConfigDN).
Hallo,
ich versuche eine neue Zertifizierungsstruktur in einer neuen Domäne aufzubauen.
Die Stammzertifizierungsstelle (Root CA) wurde installiert (Server 2008 Datacenter Edition) und ist nicht Mitglied der Domäne.
Allerdings wird von der Stammzertifizierungsstelle keine korrekte Sperrliste erstellt, so dass ich wiederum diese Sperrliste nicht ins AD importieren und damit auch keine ausstellende Zertifizierungsstelle (Issuing CA) erstellen kann.
In der Sperrliste taucht in den Eigenschaften der Eintrag auf:
Man sieht, dass hier ein Fehler vorliegt: DC=UnavailabeConfigDN
Die Variable scheint nicht korrekt hinterlegt zu sein, deshalb kann der LDAP-Pfad für die Ablage der Sperrliste nicht generiert und von anderen Zertifizierungsstellen abgefragt werden.
Bei der Installation der Stammzertifizierungsstelle (Root CA) habe ich allerdings ein PostinstallationsSkript ausgeführt, das diese Variable setzt.
Hier das Postinstallationskript
Hier wird sowohl die DSConfigDN gesetzt (erste Code-Zeile), als auch später der LDAP-Pfad der CDP.
Versuche ich trotzdem, diese Sperrliste mit dem Befehl
ins AD zu importieren, schlägt dieser Vorgang fehl.
Damit kann ich auch die untergeordnete ausstellende Zertifizierungsstelle (Issuing CA) nicht starten (also den Dienst).
Hab gegoogelt und gegoogelt, hab aber entweder nur Beiträge gefunden, die am Ende nicht gelöst wurden, oder Beiträge, bei denen der Ersteller einen Punkt bei der Einrichtung der Root CA vergessen hatte. Beides bringt mich leider nicht weiter.
Hat noch jemand Ansätze?
Viele Grüße,
die Kaffeepause
Hallo,
ich versuche eine neue Zertifizierungsstruktur in einer neuen Domäne aufzubauen.
Die Stammzertifizierungsstelle (Root CA) wurde installiert (Server 2008 Datacenter Edition) und ist nicht Mitglied der Domäne.
Allerdings wird von der Stammzertifizierungsstelle keine korrekte Sperrliste erstellt, so dass ich wiederum diese Sperrliste nicht ins AD importieren und damit auch keine ausstellende Zertifizierungsstelle (Issuing CA) erstellen kann.
In der Sperrliste taucht in den Eigenschaften der Eintrag auf:
[1]Standort
Name des Verteilungspunktes:
Vollst. Name:
URL=ldap:///CN=Meine%20Firma,CN=Server01,CN=CDP,CN=Public%20Key%20Services,CN=Services,DC=UnavailableConfigDN?certificateRevocationList?base?objectClass=cRLDistributionPoint
Die Variable scheint nicht korrekt hinterlegt zu sein, deshalb kann der LDAP-Pfad für die Ablage der Sperrliste nicht generiert und von anderen Zertifizierungsstellen abgefragt werden.
Bei der Installation der Stammzertifizierungsstelle (Root CA) habe ich allerdings ein PostinstallationsSkript ausgeführt, das diese Variable setzt.
Hier das Postinstallationskript
::Declare Configuration NC
certutil -setreg CA\DSConfigDN "CN=Configuration,DC=firma,DC=intern"
certutil -setreg CA\DSDomainDN "DC=firma,DC=intern"
certutil -setreg CA\CRLPeriodUnits 30
certutil -setreg CA\CRLPeriod "Weeks"
certutil -setreg CA\CRLDeltaPeriodUnits 0
certutil -setreg CA\CRLDeltaPeriod "Days"
::CDP Pfade setzen
certutil -setreg CA\CRLPublicationURLs "65:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n79:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=Public Key Services,CN=Services,%%6%%10"
::AIA Pfad setzen
certutil -setreg CA\CACertPublicationURLs "1:%windir%\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n3:ldap:///CN=%%7,CN=AIA,CN=Public Key Services,CN=Services,%%6%%11"
::Auditing einschalten
certutil -setreg CA\AuditFilter 127
::Laufzeit für erstellte Zertifikate
certutil -setreg CA\ValidityPeriodUnits 5
certutil -setreg CA\ValidityPeriod "Years"
::Neustart Zertifikatsdienst
net stop certsvc & net start certsvc
Hier wird sowohl die DSConfigDN gesetzt (erste Code-Zeile), als auch später der LDAP-Pfad der CDP.
Versuche ich trotzdem, diese Sperrliste mit dem Befehl
certutil -dspublish -f "certcrl.crl"
ldap: 0xa: 0000202B: RefErr: DSID-031007EF, data 0, 1 access points
ref 1: 'unavailableconfigdn'
CertUtil: -dsPublish-Befehl ist fehlgeschlagen: 0x8007202b (WIN32: 8235)
CertUtil: Eine Referenzauswertung wurde vom Server zurückgesendet.)
Damit kann ich auch die untergeordnete ausstellende Zertifizierungsstelle (Issuing CA) nicht starten (also den Dienst).
Hab gegoogelt und gegoogelt, hab aber entweder nur Beiträge gefunden, die am Ende nicht gelöst wurden, oder Beiträge, bei denen der Ersteller einen Punkt bei der Einrichtung der Root CA vergessen hatte. Beides bringt mich leider nicht weiter.
Hat noch jemand Ansätze?
Viele Grüße,
die Kaffeepause
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 177927
Url: https://administrator.de/contentid/177927
Ausgedruckt am: 24.11.2024 um 17:11 Uhr
1 Kommentar