CDP- und AIA-Punkte können manchmal verwirrend sein, sind aber die wichtigsten Säulen einer funktionalen PKI Umgebung. Die Konfiguration geeigneter CDP- und AIA-Punkte kann zu einer besseren und stabileren PKI-Umgebung führen, die Fehlerbehebung kann jedoch ebenso schwierig sein. Dieser Artikel soll Ihnen helfen, CDP/AIA-Probleme zu vermeiden, die während der PKI-Konfiguration und -Debugging-Phase auftreten können.
Konfiguration von CDP/AIA-Punkten
Die ordnungsgemäße Konfiguration von CDP- und AIA-Punkten kann schwierig sein. Dazu gehört die richtige Berechtigung, wo CRLs veröffentlicht werden müssen und wo auf sie zugegriffen werden kann.
Eine falsche Konfiguration von CDP kann zu zwei Szenarien führen
- CRL kann nicht veröffentlicht werden oder
- Auf CRLs kann nicht zugegriffen werden
Wenn AIA nicht richtig konfiguriert ist, kann auch nicht auf Zertifikate von Stamm- und ausstellenden Zertifizierungsstellen zugegriffen werden.
In beiden Szenarien funktioniert die PKI nicht ordnungsgemäß.
Konfiguration von AIA
AIA ist am einfachsten zu konfigurieren. Bei Verwendung von OCSP kann der AIA-Dezimalpunkt 34 enthalten, andernfalls ist er immer 2.
| Display Name | Dezimalwert |
|---|---|
| An diesem Ort veröffentlichen | 1 |
| In die AIA-Erweiterung der ausgestellten Zertifikate aufnehmen | 2 |
| In die Erweiterung Online Certificate Status Protocol (OCSP) aufnehmen | 32 |
Der Dezimalwert 1 wird bei der Veröffentlichung im %windir%\System32\certsrv\CertEnroll Standort. Es kann auch zur direkten Veröffentlichung am AIA-Standort einbezogen werden, wenn die entsprechenden Berechtigungen erteilt werden.
[Hinweis: Wenn sich der Standort hinter einem Load Balancer befindet, kann die CA nicht auf beide Server zugreifen, was zu Fehlern führen kann. Bitte veröffentlichen Sie nicht an diesen Standorten. Stattdessen wird eine manuelle Kopie empfohlen.]
Der Dezimalwert 2 wird eingefügt, wenn die URL zu den ausgestellten Zertifikaten hinzugefügt werden soll. Diese URLs fungieren als AIA-Punkte, von denen die Zertifikate extrahiert werden können.
Ejemplo:
Hier stellen wir einen lokalen CertEnroll-Ordner mit dem Dezimalwert 1 bereit, da dort die AIA veröffentlicht wird. Der HTTP-Speicherort hat den Dezimalwert 2. Dort veröffentlichen wir die Zertifikate nicht, er fungiert aber als AIA-Speicherort, von dem aus andere Clients auf das Zertifikat zugreifen können.
Konfiguration von CDP
Die Konfiguration von CDP kann davon abhängen, wie die CA konfiguriert ist, wie die CRLs veröffentlicht und abgerufen werden, und wenn Delta-Zertifikatsperrlisten veröffentlicht werden.
| Display Name | Beschreibung | Dezimalwert |
|---|---|---|
| CRLs an diesem Ort veröffentlichen | Wird von der Zertifizierungsstelle verwendet, um zu bestimmen, ob Basis-CRLs an diesem Speicherort veröffentlicht werden sollen | 1 |
| In den CRL Distribution Point (CDP) der ausgestellten Zertifikate aufnehmen | Wird von Clients während der Widerrufsprüfung verwendet, um den Basis-CRL-Speicherort zu finden | 2 |
| In [Basis]-CRLs einschließen | Wird von Clients während der Widerrufsprüfung verwendet, um den Delta-CRL-Speicherort anhand der Basis-CRLs zu ermitteln. | 4 |
| In alle CRLs einschließen | Eine Offline-CA kann damit die LDAP-URL für die manuelle Veröffentlichung von CRLs angeben. Sie müssen außerdem den expliziten Konfigurationscontainer in der URL oder im DSConfigDN Wert in der Registrierung. certutil -setreg CA\DSConfigDN CN= |
8 |
| 16 | ||
| 32 | ||
| Delta-CRLs an diesem Speicherort veröffentlichen | Wird von der Zertifizierungsstelle verwendet, um zu bestimmen, ob Delta-CRLs an diesem Speicherort veröffentlicht werden sollen | 64 |
Je nachdem, wie das CDP konfiguriert werden muss, werden entsprechend Dezimalwerte verwendet.
Dezimalwert 1 wird hauptsächlich zum Veröffentlichen von CRLs verwendet %windir%\System32\certsrv\CertEnroll Standort oder an Standorte, für die die CA über die entsprechenden Zugriffsberechtigungen verfügt. Wenn auch Delta-CRLs veröffentlicht werden, wird 65 (1+64) verwendet.
[Hinweis: Wenn sich der Standort hinter einem Load Balancer befindet, kann die CA nicht auf beide Server zugreifen, was zu Fehlern führen kann. Bitte veröffentlichen Sie nicht an diesen Standorten. Stattdessen wird eine manuelle Kopie empfohlen.]
Dezimalwert 2 enthält die URL oder den Standort und lässt ihn als CDP-Standort fungieren, von dem aus auf Basis- oder Delta-CRLs zugegriffen wird.
Beispiel
Dezimalwert 79 = CRLs werden an diesem Standort veröffentlicht (1) + Standort wird zu CDP hinzugefügt (2) + Delta-CRL-Standort (4) + In alle CRLs einschließen (8) + Delta-CRL an diesem Standort veröffentlichen (64)
Dezimalwert 65 = CRL an diesem Ort veröffentlichen (1) + Delta-CRL an diesem Ort veröffentlichen (64)
Dezimalwert 6 = Standort wird zu CDP hinzugefügt (2) + Delta CRL-Standort (4)
CRL-Ersatztoken
In den obigen Beispielen sind Ihnen möglicherweise %1, %3, %4, %8 und %9 aufgefallen. Dies stellt die Konfiguration der Zertifizierungsstelle und den Dateinamen dar. Wenn die Dateien umbenannt werden, können die AIA- und CDP-Punkte fehlschlagen, da die Namenskonvention nicht übereinstimmt.
| Token-Name | Beschreibung | Kartenwert |
|---|---|---|
| ServerDNSName | Der DNS-Name des CA-Servers | %1 |
| ServerShortName | Der NetBIOS-Name des Servers | %2 |
| CAName | Der Name der Zertifizierungsstelle | %3 |
| Cert_Suffix | Die Erneuerungsverlängerung der CA | %4 (gemäß Windows 2000-Zuordnung) |
| Zertifikatname | %4 (gemäß Windows 2003-Zuordnung | |
| Konfigurationscontainer | Der Speicherort des Konfigurationscontainers in AD | %6 |
| CATruncatedName | Der „bereinigte“ Name der CA | %7 |
| CRLNameSuffix | Die Erneuerungsverlängerung der CRL | %8 |
| DeltaCRLAllowed | Wenn Delta CRL zulässig ist, wird am Ende der Datei ein + hinzugefügt, um eine Delta-CRL anzuzeigen. | %9 |
| CDPObjectClass | %10 | |
| CAObjectClass | %11 |
Basierend auf dem Zuordnungswert wird den AIA- und CDP-Punkten eine Namenskonvention zugewiesen, um die richtige Datei an diesen Standorten zu finden.
Debuggen von CDP/AIA-Standortproblemen
Wenn die CDP/AIA-Standorte ordnungsgemäß konfiguriert sind, helfen diese Schritte vorübergehend bei der Behebung der Probleme. Wir verwenden beispielsweise AIA-Probleme, die auch bei CDP-Problemen funktionieren.
Nachdem wir PKIView.msc geöffnet und überprüft haben, können wir sehen, wo das Problem liegt. Wir können die URL zur weiteren Untersuchung in einen Notizblock kopieren.
Das AD verfügt nicht über unser Zertifikat, wenn das Problem am LDAP-Speicherort liegt. Dies lässt sich recht einfach beheben.
Über LDAP abgerufene Zertifikate werden vom Domänencontroller abgerufen. Wenn wir den Domänencontroller und ADSIEdit.msc öffnen, können wir zu Dienste > Public Key Services > AIA navigieren und die vorhandenen Zertifikate überprüfen. Da unsere Ausstellende Zertifizierungsstelle Das Zertifikat fehlt. Die PKI-Umgebung kann das Zertifikat von diesem Speicherort nicht abrufen.
Um dies zu beheben, navigieren wir zu unserer ausstellenden CA und führen den Befehl aus
certutil -dspublish -f SubCA
Sobald der Befehl erfolgreich ausgeführt wird, können wir unsere PKIView.msc aktualisieren, um zu überprüfen, ob das Problem behoben ist, und wir sollten eine saubere Tafel sehen
Wenn jedoch der AIA-Standort Nr. 2 oder der HTTP-Standort Fehler verursacht, liegt dieser Fehler daran, dass das Zertifikat an diesem Serverendpunkt nicht vorhanden ist.
Um dies zu beheben, kopieren wir das Zertifikat vom Speicherort %windir%\System32\certsrv\CertEnroll auf unseren Webserver, der unser Zertifikat hostet.
Dies würde unser Problem lösen, das wir erneut auf PKIView.msc überprüfen können.
Fazit
Probleme mit CDP- und AIA-Standorten können knifflig sein. Fehlkonfigurationen können oft zu Problemen führen, die schwerer zu verfolgen sind. Mit diesem Leitfaden möchten wir die Konfiguration von CDP-/AIA-Punkten durch Debugging-Schritte zur Unterstützung bei technischen Problemen deutlich vereinfachen.
