Ankündigung

Einklappen
Keine Ankündigung bisher.

CA, OCSP-Responder: OCSP-Request nicht erfolgreich

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Problem: CA, OCSP-Responder: OCSP-Request nicht erfolgreich

    hello together

    Habe auf meiner zweistufigen CA auf der SubCA, rechte Maustaste Eigenschaften, Reiter (Register) Erweitert, Punkt: Zugriff auf Stelleninformationen zwei URLs hinterlegt

    => http://aia.domainXY.ch/crl/......
    angekreuzt habe ich hierbei: "in AIA-Erweiterung des ausgestellten Zertifikats einbeziehen"
    => http://ocsp.domainXY.ch/ocsp
    angekreuzt habe ich hierbei: "In Online Certificate Status-Protocol(OCSP)-Erweiterungen einbeziehen"

    Mit dem Kommandozeilentool Certutil habe ich dann mein neue generiertes Exchange Zertifikat auf OCSP Tauglichkeit getestet, wie folgt
    certutil -verify -urlfetch -v PfadZumExchangeCert.cer

    dabei war unteranderem betreffend OCSP eine Fehlermeldung aufgetaucht, welche leider nicht wirklich aussagekräftig ist

    Frage: Was habe ich für Möglichkeiten, um herausfinden zu können, wo oder warum genau die Meldung erscheint, OCSP Prüfung nicht erfolgreich - gibt es OCSP LOGs oder sonst Tools, mit welchen ich mehr Details zur OCSP Prüfung erhalte?

    ---------------- Zertifikat-OCSP ----------------

    JilQK%2fjAQU%2byCMJb1UTlKiALx43stiFHuEYxgCExIAAAAF lIeybqG%2fjjMAAAAAAAU%3d?Conte
    nt-Type: application/ocsp-request
    Nicht erfolgreich "OCSP" Zeit: 0
    [0.0] http://ocsp.domainXY.ch/ocsp


    --------------------------------
    CRL 08:
    Issuer: CN=domainXY-RootCA, DC=domainXY, DC=CH
    ThisUpdate: 04.01.2016 12:11
    NextUpdate: 03.01.2017 00:31
    46de5d4ee5ff9ad75e1a81f884fe4e934c7aa93e

    CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0
    Issuer: CN=domainXY-RootCA, DC=domainXY, DC=CH
    NotBefore: 12.07.2015 11:27
    NotAfter: 12.07.2045 11:37
    Subject: CN=domainXY-RootCA, DC=domainXY, DC=CH
    Serial: 2ee48052524dfc9f4ac6c1bf64d76b90
    bfca801e7257e89cd254d6873e9868208e548ea2
    Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
    Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
    Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    ---------------- Zertifikat abrufen ----------------
    Keine URLs "Keine" Zeit: 0
    ---------------- Zertifikat abrufen ----------------
    Keine URLs "Keine" Zeit: 0
    ---------------- Zertifikat-OCSP ----------------
    Keine URLs "Keine" Zeit: 0
    --------------------------------

    Exclude leaf cert:
    c08f85ea8754e0fb37b42bcdc6a3800743b14268
    Full chain:
    276e28eaba62d0ec06c810af58a77eeaf1a0290f
    ------------------------------------
    Verfizierte Ausstellungsrichtlinien: Kein
    Verfizierte Anwendungsrichtlinien:
    1.3.6.1.5.5.7.3.1 Serverauthentifizierung
    Sperrstatussüberprüfung des untergeordneten Zertifikats erfolgreich abgeschlosse
    n.
    CertUtil: -verify-Befehl wurde erfolgreich ausgeführt.
    Grüsse Andrew - MCP 70- 210 & 70- 620 - man kann nicht alles Wissen, aber wenn man weiss wo nachschauen, ist die Lösung nicht mehr weit

  • #2
    AW: CA, OCSP-Responder: OCSP-Request nicht erfolgreich

    Hoi André

    Naja, die Auswahl bei den möglichen Ursachen sind beinahe unendlich
    Zuerst mal Basics: http://ocsp.domainXY.ch/ ist erreichbar per Browser? Dienst läuft dort? Firewallrules lassen Zugriff zu?

    Kommentar

    Lädt...
    X