Zweistufige PKI

Ronny Böttcher

Microsoft-Systemadministrator seit 2007 und seit 2021 als IT-Consultant bei Bechtle in Deutschland am Standort Mannheim; alle bisherigen Stationen siehe bei "Über mich". In seiner Freizeit bei der Feuerwehr und Modellbahner, zudem gerne am Kochen/Grillen - oder am Essen 😁

6 Antworten

  1. Ced Rock sagt:

    Hallo
    Vielen Dank für den super Artikel!

    Ich habe die Anleitung jetzt mehrmals penibel in meiner Testumgebung durchgeführt. Wenn ich zum Schluss mir pkiview.msc teste, habe ich immer die selben Fehler „unable to download“ der AIA, CDP und DeltaCRL Locations für den ldap Pfad. Http Pfade sind alle ok. Was könnte da sein?
    Folgende Locations sind eingetragen:
    AIA Location #1:
    ldap:///CN=Testlab-Sub-CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=testlab,DC=local?cACertificate?base?objectClass=certificationAuthority
    CDP Location #1:
    ldap:///CN=Testlab-Sub-CA,CN=PKI02,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=testlab,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint
    DeltaCRL Location #1:
    ldap:///CN=Testlab-Sub-CA,CN=PKI02,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=testlab,DC=local?deltaRevocationList?base?objectClass=cRLDistributionPoint
    Im ADSI Edit unter CN=AIA und CN=CDP sind die Pfade da und stimmen. Das Zertifikat und die Sperrliste wurden auch mittels certutil –dspublish –f veröffentlicht. Ich komme nicht mehr weiter und wäre um eine Antwort sehr dankbar!

    Danke und Gruss

    • Hallo Ced Rock,

      vielen Dank für deine Rückmeldung und Frage – Urlaubsbedingt komme ich leider jetzt erst zur Antwort.
      Ich habe leider die o.g. Testumgebung nicht mehr parat, sodass ich nicht nachschauen kann; aber ich kann die Tage mal auf einer anderen PKI prüfen. Auf den ersten Blick fällt mir lediglich auf, dass im AIA-Pfad kein „CN=PKI02“ vorhanden ist. Ansonsten bitte einfach nochmal auf Tippfehler prüfen. Soweit ich weiß, wurde o.g. Anleitung (welche ja auf denen von FrankysWeb basiert) bereits mehrfach erfolgreich verwendet.

      Wenn gar nichts hilft, können wir sicherlich auch mal in einem gemeinsamen Termin schauen.

      Viele Grüße Ronny

  2. Torsten Palitza sagt:

    Hallo Ronny,

    vielen Dank für deine Anleitung. Ich habe dennoch eine Frage bzw. Verständnisproblem. Nachdem auf dem PKI01 die CA-CMD.bat ausgeführt wurde, sprichst du davon, dass die Sperrliste erneut veröffentlicht werden muss. Soll das vermutlich auch auf dem PKI01 geschehen? Und im Anschluss soll dann die Sperrliste und das Root-CA von PKI01, die sich in „C:\Windows\System32\CertSrv\CertEnroll“ befinden, auf PKI02 kopiert und anschließend veröffentlicht werden?

    Falls ich das richtig verstanden habe, habe ich folgendes Problem auf PKI01 und dem Veröffentlichen der neuen Sperrliste:
    certutil -dspublish -f Demo-Root-CA.crl
    ldap:///CN=Demo-Root-CA,CN=PKI01,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=Demo,DC=de?certificateRevocationList?base?objectClass=cRLDistributionPoint?certificateRevocationList
    CertUtil: -dsPublish command FAILED: 0x80070547 (WIN32: 1351 ERROR_CANT_ACCESS_DOMAIN_INFO)
    CertUtil: Configuration information could not be read from the domain controller, either because the machine is unavailable, or access has been denied.

    • Hallo Torsten,

      vielen Dank für deine Frage.

      Es muss einmal auf der RootCA (in meinem Beispiel „PKI01“) gemacht werden, sodass ggfs. gesperrte SubCA-Zertifikate bekannt gemacht werden. Klar, beim Neuaufbau gibt es keine gesperrten SubCA-Zertifikate, daher ist die Liste dann quasi leer. Die Dateien werden dann von PKI01 aus dem Pfad „C:\Windows\System32\CertSrv\CertEnroll“ nach PKI02 kopiert und dort wird dann certutil -dspublish -f Demo-Root-CA.crl ausgeführt, um die Sperrliste der RootCA in die AD zu Importieren

      Ich hoffe, ich habe damit deine Frage beantworten können.

      Viele Grüße
      Ronny 😉

  3. Thorsten Kallenborn sagt:

    Hallo,
    super Artikel 😊, ich stelle mir die Frage ob ich meinen DC als Sub-CA einrichten soll.
    Ist das zu empfehlen oder eher nicht?
    Für eine Antwort wäre ich dankbar.

    VG

    • Hallo,
      vielen Dank für die Rückmeldung.

      Also Microsofts Best-Practice ist, dass auf einem DC keine weiteren Rollen laufen sollten. Ich würde die Sub-CA als Member-Server einrichten und nicht direkt auf dem DC. Ein Grund ist bspw. Upgrade des DCs, dann muss man auch direkt die Sub-CA anpacken und man hat dann unnötige Abhängigkeiten geschaffen. In vielen Unternehmen werden eh Windows Server Datacenter-Lizenzen verwendet und dann ist die Menge der VMs eh egal – d.h. ein Windows-Server mehr, macht’s dann auch nicht umständlicher.

      Ich hoffe, ich konnte bei der Entscheidung weiterhelfen 😉

      Viele Grüße
      Ronny

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

DSGVO Cookie Consent mit Real Cookie Banner