Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2410 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Problèmes de CA server dans active directory

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Problèmes de CA server dans active directory

n°95156
houckaye
Wouff
Posté le 22-04-2012 à 13:58:29  profilanswer
 

Bonjour,
 
j'essaie de comprendre le fonctionnement des CA server chez MS.
 
J'essaie donc d'installer  un serveur ROOT Standalone hors domaine (CERTIF1) et un serveur CA  Entreprise subordonné (CERTIF2) dans le domaine.
 
J'installe le Root Standalone (CERTIF1) et je ne vois rien de spécial point de vue erreur ou disfonctionnement
J'installe le serveur CA Entreprise subordonné (CERTIF2) --> transmission de la demande du certificat en direct ou par fichier au CERTIF1 et récupération du fichier *.P7B.
Lorsque que je veux démarrer le service sur CERTIF2, il me dit que le serveur CRL est Offline et donc ne peut vérifier les révocation et donc ne peut démarrer.
Les fichiers CRL et CRT sont bien dans le répertoire CertEnroll de CERTIF1 et je peux y accéder en copiant l'url dans la console CA de CERTIF2 (CDP ou AIA location sous enterprise PKI) .
 
Auriez-vous une idée car je ne comprends pas pourquoi CERTIF2 ne peut télécharger les fichiers CRL/CRT alors que je peux le faire en tant que user ?


Message édité par houckaye le 22-04-2012 à 14:42:40
mood
Publicité
Posté le 22-04-2012 à 13:58:29  profilanswer
 

n°95160
Je@nb
Modérateur
Kindly give dime
Posté le 22-04-2012 à 17:48:57  profilanswer
 

Tu as quoi dans les infos du certificat CA de la subordonnée ? Tes CRL Locations sont bonnes ?

n°95162
houckaye
Wouff
Posté le 22-04-2012 à 18:48:16  profilanswer
 

En fait, je voulais mettre mes CDP sur des URL de type "file://" et il semble que c'est de là que ça vient.
En effet, maintenant j'utilise des URL de type "http://" (j'ai pris la peine d'installer IIS sur un serveur) et apparemment tout est bon.
 
A part un certain Brian Komar sur le site social.microsoft... et un site qui affirme que les URLs FILE ne sont pas supportés, je n'ai rien vu dans les différents documents.
 
 

Citation :

 
The only ones failing are HTTP URLs, and since it is base CRLs as well as  
delta CRLs, it probably is not the double-escaping issue (as you guessed).
 
1) Try each URL from Internet Explorer on different clients (not just the  
CA)
 
2) Are you using a proxy server? The machine must be set up to use the proxy  
server to access the HTTP URLs
 
3) The root CA is using a NetBIOS name for the HTTP and FILE Urls. Are you  
manually publishing the root CA certificate and CRL to an online Web server?  
This should be referenced by a DNS name, not a NetBIOS name
 
4) The FILE URLs in the root CA are not supported, and should be  
removed
 
Brian


 
http://social.technet.microsoft.co [...] 308dd9ce2/
 
 

Citation :

To publish the offline Root CA cert and CRL to AD, set the "Include in all CRLs"  
flag in the Root CA extension properties and use the certutil -dspublish  
command. Do note that file share CDP (FILE://)  
is not supported - only LDAP:// and HTTP://. I have tried and it's not  
going to work. Similarly, you would need to specify where clients and servers  
can obtain the root cert (i.e. LDAP and/or HTTP) in the "Authority Information  
Access (AIA)" drop-down setting.


http://networkerslog.blogspot.com/ [...] -crls.html


Message édité par houckaye le 22-04-2012 à 19:04:29
n°95163
houckaye
Wouff
Posté le 22-04-2012 à 18:59:06  profilanswer
 

Mais bon, ça n'a pas l'air de fonctionner non plus avec le subordonné :o

n°95164
Je@nb
Modérateur
Kindly give dime
Posté le 22-04-2012 à 19:32:00  profilanswer
 

Disons que sur File:// je ne sais pas quel token kerberos/ntlm la CA utilise. Elle a peut être pas accès au réseau. (enfin smb).
 
Tu vois des requêtes réseaux passer ?

n°95165
houckaye
Wouff
Posté le 22-04-2012 à 19:49:41  profilanswer
 

Je dois avouer que je ne connais pas suffisemment que pour diagnostiquer avec le trame réseau :o
 
Par contre, j'avais mis une audit sur le dossier partagé et je n'ai vu aucun accès.

n°95166
Je@nb
Modérateur
Kindly give dime
Posté le 22-04-2012 à 20:28:09  profilanswer
 

Regarde les logs IIS alors :)

n°95211
houckaye
Wouff
Posté le 23-04-2012 à 18:14:55  profilanswer
 

Merci, je replonge dans le diag dès que je peux.
 
IIS serait concerné quand on utilise "File://" ? Car avec "http://", c'est bon


Message édité par houckaye le 23-04-2012 à 18:16:53
n°95213
Je@nb
Modérateur
Kindly give dime
Posté le 23-04-2012 à 19:21:05  profilanswer
 

Non file:// c'est partage de fichier pas IIS


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Problèmes de CA server dans active directory

 

Sujets relatifs
Problème d'installation Active Directory[Problèmes] Coupures serveur (flapping)
Nettoyage Active Directory, comment faire ?[TSE] Plusieurs problèmes mineurs de connexion
sysprep windows 7 activéPB active directory (résolu)
Freeradius et active directory 
Plus de sujets relatifs à : Problèmes de CA server dans active directory

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.055 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR