Zertifikatssperrliste erneuern
Hallo zusammen,
Ich habe eine Windows offline Zertifizierungsstelle bei der die CRL in zwei Tagen abläuft. Die CRL habe ich eigentlich erneuert, bin mir nun aber nicht sicher ob es dann auch klappt, da das Expiration Date immer noch auf 11.04.2018 lautet. Sollte das Datum sofort angepasst werden oder wird das erst nach Ablauf erneuert?
Beim Erneuer der CRL bin ich folgendermassen vorgegangen:
Auf dem Root-CA Server habe ich ein Publish ausgeführt.
Das CRL habe ich dann vom Verzeichnis C:\Windows\System32\certSrv\CertEnroll auf die Sub-CA in das Verzeichnis C:\Windows\System32\certSrv\CertEnroll kopiert.
Auf der Sub-CA habe ich ein CMD als Admin gestartet und folgenden Befehl ausgeführt: certutil -dspublish -f Private-Root-CA.crl
Dann habe ich noch den Service neu gestartet: net stop certsvc && net start certsvc
Kann mir jemand sagen wie ich feststellen kann ob ich alles richtig gemacht habe oder ob ich etwas falsch gemacht habe?
Vielen Dank und Gruss
Ich habe eine Windows offline Zertifizierungsstelle bei der die CRL in zwei Tagen abläuft. Die CRL habe ich eigentlich erneuert, bin mir nun aber nicht sicher ob es dann auch klappt, da das Expiration Date immer noch auf 11.04.2018 lautet. Sollte das Datum sofort angepasst werden oder wird das erst nach Ablauf erneuert?
Beim Erneuer der CRL bin ich folgendermassen vorgegangen:
Auf dem Root-CA Server habe ich ein Publish ausgeführt.
Das CRL habe ich dann vom Verzeichnis C:\Windows\System32\certSrv\CertEnroll auf die Sub-CA in das Verzeichnis C:\Windows\System32\certSrv\CertEnroll kopiert.
Auf der Sub-CA habe ich ein CMD als Admin gestartet und folgenden Befehl ausgeführt: certutil -dspublish -f Private-Root-CA.crl
Dann habe ich noch den Service neu gestartet: net stop certsvc && net start certsvc
Kann mir jemand sagen wie ich feststellen kann ob ich alles richtig gemacht habe oder ob ich etwas falsch gemacht habe?
Vielen Dank und Gruss
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 370668
Url: https://administrator.de/forum/zertifikatssperrliste-erneuern-370668.html
Ausgedruckt am: 23.12.2024 um 05:12 Uhr
6 Kommentare
Neuester Kommentar
Guten Abend,
Gruß,
Dani
Auf der Sub-CA habe ich ein CMD als Admin gestartet und folgenden Befehl ausgeführt: certutil -dspublish -f Private-Root-CA.crl
was möchtest du damit bewirken? Kann mir jemand sagen wie ich feststellen kann ob ich alles richtig gemacht habe oder ob ich etwas falsch gemacht habe?
Weder noch... wie können die Clients die Sperrlisten denn überhaupt erreichen - per LDAP, HTTP oder File? Denn nur das ist relevant, egal wie oft die Sperrliste auf verschiedene Server kopierst. Dies siehst du entweder in den Eigenschaften der jeweiligen PKI oder in einem Zertifikat, welches die jeweilige PKI ausgestellt hat (Sperrlistenendpunkt).Gruß,
Dani
Mit dem Befehl "certutil -dspublish -f Private-Root-CA.crl" Publiziere ich sie auf der Sub-CA.
Hi,
Nein damit publizierst du sie im AD, hast du die Sperrliste im Filesystem vom CDP Pfad abgelegt ?
Mfg
Nein damit publizierst du sie im AD, hast du die Sperrliste im Filesystem vom CDP Pfad abgelegt ?
Mfg