Problèmes de CA server dans active directory

Marsh Posté le 22-04-2012 à 13:58:29

Bonjour,

j'essaie de comprendre le fonctionnement des CA server chez MS.

J'essaie donc d'installer un serveur ROOT Standalone hors domaine (CERTIF1) et un serveur CA Entreprise subordonné (CERTIF2) dans le domaine.

J'installe le Root Standalone (CERTIF1) et je ne vois rien de spécial point de vue erreur ou disfonctionnement
J'installe le serveur CA Entreprise subordonné (CERTIF2) --> transmission de la demande du certificat en direct ou par fichier au CERTIF1 et récupération du fichier *.P7B.
Lorsque que je veux démarrer le service sur CERTIF2, il me dit que le serveur CRL est Offline et donc ne peut vérifier les révocation et donc ne peut démarrer.
Les fichiers CRL et CRT sont bien dans le répertoire CertEnroll de CERTIF1 et je peux y accéder en copiant l'url dans la console CA de CERTIF2 (CDP ou AIA location sous enterprise PKI) .

Auriez-vous une idée car je ne comprends pas pourquoi CERTIF2 ne peut télécharger les fichiers CRL/CRT alors que je peux le faire en tant que user ?

Message édité par houckaye le 22-04-2012 à 14:42:40

Reply

Marsh Posté le 22-04-2012 à 13:58:29

Reply

Marsh Posté le 22-04-2012 à 17:48:57

Tu as quoi dans les infos du certificat CA de la subordonnée ? Tes CRL Locations sont bonnes ?

Reply

Marsh Posté le 22-04-2012 à 18:48:16

En fait, je voulais mettre mes CDP sur des URL de type "file://" et il semble que c'est de là que ça vient.
En effet, maintenant j'utilise des URL de type "http://" (j'ai pris la peine d'installer IIS sur un serveur) et apparemment tout est bon.

A part un certain Brian Komar sur le site social.microsoft... et un site qui affirme que les URLs FILE ne sont pas supportés, je n'ai rien vu dans les différents documents.

Citation :

The only ones failing are HTTP URLs, and since it is base CRLs as well as
delta CRLs, it probably is not the double-escaping issue (as you guessed).

1) Try each URL from Internet Explorer on different clients (not just the
CA)

2) Are you using a proxy server? The machine must be set up to use the proxy
server to access the HTTP URLs

3) The root CA is using a NetBIOS name for the HTTP and FILE Urls. Are you
manually publishing the root CA certificate and CRL to an online Web server?
This should be referenced by a DNS name, not a NetBIOS name

4) The FILE URLs in the root CA are not supported, and should be
removed

Brian

http://social.technet.microsoft.co [...] 308dd9ce2/

Citation :

To publish the offline Root CA cert and CRL to AD, set the "Include in all CRLs"
flag in the Root CA extension properties and use the certutil -dspublish
command. Do note that file share CDP (FILE://)
is not supported - only LDAP:// and HTTP://. I have tried and it's not
going to work. Similarly, you would need to specify where clients and servers
can obtain the root cert (i.e. LDAP and/or HTTP) in the "Authority Information
Access (AIA)" drop-down setting.

http://networkerslog.blogspot.com/ [...] -crls.html

Message édité par houckaye le 22-04-2012 à 19:04:29

Reply

Marsh Posté le 22-04-2012 à 18:59:06

Mais bon, ça n'a pas l'air de fonctionner non plus avec le subordonné

Reply

Marsh Posté le 22-04-2012 à 19:32:00

Disons que sur File:// je ne sais pas quel token kerberos/ntlm la CA utilise. Elle a peut être pas accès au réseau. (enfin smb).

Tu vois des requêtes réseaux passer ?

Reply

Marsh Posté le 22-04-2012 à 19:49:41

Je dois avouer que je ne connais pas suffisemment que pour diagnostiquer avec le trame réseau

Par contre, j'avais mis une audit sur le dossier partagé et je n'ai vu aucun accès.

Reply

Marsh Posté le 22-04-2012 à 20:28:09

Regarde les logs IIS alors

Reply

Marsh Posté le 23-04-2012 à 18:14:55

Merci, je replonge dans le diag dès que je peux.

IIS serait concerné quand on utilise "File://" ? Car avec "http://", c'est bon

Message édité par houckaye le 23-04-2012 à 18:16:53

Reply

Marsh Posté le 23-04-2012 à 19:21:05

Non file:// c'est partage de fichier pas IIS

Reply

Problèmes de CA server dans active directory

Sujets relatifs:

Leave a Replay