122678
Jul 16, 2015
7162
5
0
Zertifizierungsstellenzertifikat installieren
Hallo an Alle,
ich bekomme bei dem Punkt "Zertifizierungsstellenzertifikat installieren" auf der SubCA die nachstehende Fehlermeldung:
Die Zertifikatskette kann nicht überprüft werden. Möchten Sie den Fehler ignorieren und den Vorgang fortsetzen? Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-21 46885613 CRYPT_E_REVOCATION_OFFLINE)"
Die RootCA ist dabei noch online...
Weiß jemand einen Rat?
Oberhausener
ich bekomme bei dem Punkt "Zertifizierungsstellenzertifikat installieren" auf der SubCA die nachstehende Fehlermeldung:
Die Zertifikatskette kann nicht überprüft werden. Möchten Sie den Fehler ignorieren und den Vorgang fortsetzen? Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-21 46885613 CRYPT_E_REVOCATION_OFFLINE)"
Die RootCA ist dabei noch online...
Weiß jemand einen Rat?
Oberhausener
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 277498
Url: https://administrator.de/contentid/277498
Printed on: April 19, 2024 at 12:04 o'clock
5 Comments
Latest comment
Moin,
wie die Fehlermeldung schon sagt erreicht der Server die im Zertifikat hinterlegte URL für die Certificate Revocation (CRL)-Liste nicht! Wenn Windows das schreibt ist es auch so. Also checke die URL ob diese auf dem Server abrufbar ist (z.B. im Browser). Ich vermute das du auf dem Server einen anderen DNS benutzt oder auf der übergeordneten CA entweder die Webdienste nicht installiert hast oder die Seite nur via SSL erreichbar ist, diese sollte aber durch normalen http erreichbar sein.
Gruß jodel32
wie die Fehlermeldung schon sagt erreicht der Server die im Zertifikat hinterlegte URL für die Certificate Revocation (CRL)-Liste nicht! Wenn Windows das schreibt ist es auch so. Also checke die URL ob diese auf dem Server abrufbar ist (z.B. im Browser). Ich vermute das du auf dem Server einen anderen DNS benutzt oder auf der übergeordneten CA entweder die Webdienste nicht installiert hast oder die Seite nur via SSL erreichbar ist, diese sollte aber durch normalen http erreichbar sein.
Gruß jodel32
Guten Morgen "jodel32",
ich danke Dir für Deine Antwort. Ich bin ziemlich schmerzfrei was das nochmalige erstellen angeht. So habe ich im ASDI-Editor den Container "Public Key Services" gelöscht...ihn und den Container "Enrollment Services" neu erstellt, so dass keine "Altlasten" mehr vorhanden sind.
Ich versuche es jetzt noch einmal und sollte der Fehler wieder auftauchen, ich trotz Deiner Hilfe nicht klar kommen, so würde ich Dich gezielt noch einmal um Hilfe bitten...
Danke
ich danke Dir für Deine Antwort. Ich bin ziemlich schmerzfrei was das nochmalige erstellen angeht. So habe ich im ASDI-Editor den Container "Public Key Services" gelöscht...ihn und den Container "Enrollment Services" neu erstellt, so dass keine "Altlasten" mehr vorhanden sind.
Ich versuche es jetzt noch einmal und sollte der Fehler wieder auftauchen, ich trotz Deiner Hilfe nicht klar kommen, so würde ich Dich gezielt noch einmal um Hilfe bitten...
Danke
Du musst in den Eigenschaften der CA die URLs für die Revocationliste bei Bedarf so anpassen das sie auf jeden Fall von jedem Client und Server abgerufen werden kann. Diese muss nicht auf dem Server selber liegen, aber in dem Fall das du sie auslagern willst, musst du sicherstellen das du die Liste an dem angegebenen Ort veröffentlichst.
Und nach der Änderung der URLs musst du zwingend der CA ein neues CA-Zertifikat verpassen, das die geänderten URLs enthält.
Btw. Dokumentation lesen hilft vor Trial & Error Neuaufsetzen ungemein !
Und nach der Änderung der URLs musst du zwingend der CA ein neues CA-Zertifikat verpassen, das die geänderten URLs enthält.
Btw. Dokumentation lesen hilft vor Trial & Error Neuaufsetzen ungemein !
Hallo @114757,
ich habe ja alles noch mal neu aufgesetzt und jetzt habe ich an der gleichen Stelle nicht die Fehlermeldung von heute morgen....sondern:
Die Zertifikatskette kann nicht überprüft werden. Möchten Sie den Fehler ignorieren und den Vorgang fortsetzen? Die Signatur des Zertifikates konnte nicht bestätigt werden. 0x80096004 (-2146869244 TRUST_E_CERT_SIGNATURE)
Für einen Tip wäre ich wie immer sehr dankbar....
ich habe ja alles noch mal neu aufgesetzt und jetzt habe ich an der gleichen Stelle nicht die Fehlermeldung von heute morgen....sondern:
Die Zertifikatskette kann nicht überprüft werden. Möchten Sie den Fehler ignorieren und den Vorgang fortsetzen? Die Signatur des Zertifikates konnte nicht bestätigt werden. 0x80096004 (-2146869244 TRUST_E_CERT_SIGNATURE)
Für einen Tip wäre ich wie immer sehr dankbar....
Zitat von @122678:
ich habe ja alles noch mal neu aufgesetzt und jetzt habe ich an der gleichen Stelle nicht die Fehlermeldung von heute
morgen....sondern:
Die Zertifikatskette kann nicht überprüft werden. Möchten Sie den Fehler ignorieren und den Vorgang fortsetzen? Die
Signatur des Zertifikates konnte nicht bestätigt werden. 0x80096004 (-2146869244 TRUST_E_CERT_SIGNATURE)
Für einen Tip wäre ich wie immer sehr dankbar....
Dann hast du die Signaturalgorithmen zwischen CA und SubCA wild gemischt. Sieheich habe ja alles noch mal neu aufgesetzt und jetzt habe ich an der gleichen Stelle nicht die Fehlermeldung von heute
morgen....sondern:
Die Zertifikatskette kann nicht überprüft werden. Möchten Sie den Fehler ignorieren und den Vorgang fortsetzen? Die
Signatur des Zertifikates konnte nicht bestätigt werden. 0x80096004 (-2146869244 TRUST_E_CERT_SIGNATURE)
Für einen Tip wäre ich wie immer sehr dankbar....
https://social.technet.microsoft.com/Forums/windowsserver/en-US/815e15ea ...
Halte dich dich doch mal an die Best-Practices anstatt immer wieder auf gut Glück alles neu aufzusetzen.
Erst Lesen, verstehen und erst dann umsetzen, heißt die Devise, dann läuft das auf Anhieb und du kannst dann im Fehlerfall meistens auch die Ursache ergründen.
Gruß grexit
