garciam
Goto Top

Zertifikatssperrliste erneuern

Hallo zusammen,

Ich habe eine Windows offline Zertifizierungsstelle bei der die CRL in zwei Tagen abläuft. Die CRL habe ich eigentlich erneuert, bin mir nun aber nicht sicher ob es dann auch klappt, da das Expiration Date immer noch auf 11.04.2018 lautet. Sollte das Datum sofort angepasst werden oder wird das erst nach Ablauf erneuert?
status1

Beim Erneuer der CRL bin ich folgendermassen vorgegangen:

Auf dem Root-CA Server habe ich ein Publish ausgeführt.
root-ca

Das CRL habe ich dann vom Verzeichnis C:\Windows\System32\certSrv\CertEnroll auf die Sub-CA in das Verzeichnis C:\Windows\System32\certSrv\CertEnroll kopiert.

Auf der Sub-CA habe ich ein CMD als Admin gestartet und folgenden Befehl ausgeführt: certutil -dspublish -f Private-Root-CA.crl
dspublish

Dann habe ich noch den Service neu gestartet: net stop certsvc && net start certsvc

Kann mir jemand sagen wie ich feststellen kann ob ich alles richtig gemacht habe oder ob ich etwas falsch gemacht habe?

Vielen Dank und Gruss

Content-ID: 370668

Url: https://administrator.de/forum/zertifikatssperrliste-erneuern-370668.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

Dani
Dani 10.04.2018 aktualisiert um 19:12:23 Uhr
Goto Top
Guten Abend,
Auf der Sub-CA habe ich ein CMD als Admin gestartet und folgenden Befehl ausgeführt: certutil -dspublish -f Private-Root-CA.crl
was möchtest du damit bewirken?

Kann mir jemand sagen wie ich feststellen kann ob ich alles richtig gemacht habe oder ob ich etwas falsch gemacht habe?
Weder noch... wie können die Clients die Sperrlisten denn überhaupt erreichen - per LDAP, HTTP oder File? Denn nur das ist relevant, egal wie oft die Sperrliste auf verschiedene Server kopierst. Dies siehst du entweder in den Eigenschaften der jeweiligen PKI oder in einem Zertifikat, welches die jeweilige PKI ausgestellt hat (Sperrlistenendpunkt).


Gruß,
Dani
garciam
garciam 10.04.2018 um 20:17:29 Uhr
Goto Top
Hallo Dani

Die aktuelle Sperrliste wird von den Clients erreicht, die CA funktioniert also zur Zeit und ist auch korrekt konfiguriert. Ich publiziere die Sperrliste nicht auf verschiedene Server, sondern lediglich auf einem Server, der Sub-CA. Da die Sperrliste eine Gültigkeitsdauer von 6 Monaten hat, muss ich diese erneuern. Mit dem Befehl "certutil -dspublish -f Private-Root-CA.crl" Publiziere ich sie auf der Sub-CA.

Gruss
Dani
Dani 10.04.2018 um 20:27:24 Uhr
Goto Top
Guten Abend garciam,
damit wär ein Teil meines Kommentars beantwortet. Die restlichen Fragen bitte auch noch beantworten.


Gruß,
Dani
7Gizmo7
7Gizmo7 10.04.2018 um 20:44:57 Uhr
Goto Top
Zitat von @garciam:

Mit dem Befehl "certutil -dspublish -f Private-Root-CA.crl" Publiziere ich sie auf der Sub-CA.

Hi,

Nein damit publizierst du sie im AD, hast du die Sperrliste im Filesystem vom CDP Pfad abgelegt ?

Mfg
garciam
garciam 10.04.2018 um 22:13:36 Uhr
Goto Top
Hallo 7Gizmo

Stimmt, ich publiziere sie schlussendlich im AD. Die Sperrliste lege ich unter C:\Windows\System32\CertSrv\CertEnroll ab.

Eigentlich möchte ich in einem ersten Schritt nur wissen, ob das Expiring Datum aktualisiert werden müsste, nachdem ich die neue Sperrliste publiziert habe. Ich habe die Sperrliste nach dem oben erwähnten Vorgehen bereits einmal aktualisiert und das hatte funktioniert. Ich bin mir aber eben nicht mehr sicher, ob das Datum sofort wechselt oder erst nach Ablauf, also am 11.04.18.

Vielen Dank.

Gruss
garciam
garciam 11.04.2018, aktualisiert am 12.04.2018 um 11:38:59 Uhr
Goto Top
Nach dem ich noch ein certutil -crl ausgeführt habe wurde das Expiration Date aktualisiert.