12
Speicherort Zertifikate im LDAP
Moin,
ich habe mal eine grundsätzliche Frage zu Zertifikaten im LDAP. Wie, bzw wo kann ich einzelne Zertifikate im LDAP löschen?
Ich bin mir jetzt nicht sicher, aber könnte das in diesem Pfad sein:
CN=OID,CN=Public Key Services,CN=Services,CN=Configuration,DC=subdomain,DC=doamin,DC=de
Wenn ich mir jetzt ein Zertifikat ansehe, dann kann ich keinen Bezug zu den Einträgen in den Container CN=OID herstellen.
Das ist wie gesagt aber auch nur eine Vermutung von mir, dass hier die Zertifikate liegen.
Im Container CN=AIA ist ja nur, bzw. sind ja nur die eigentliche Zertifierungsstelle gelistet.
Wenn man sich das Attribut "cACertificate" ansieht, dann erkenne ich in diesem Fall 4 Einträge.
ich habe mal eine grundsätzliche Frage zu Zertifikaten im LDAP. Wie, bzw wo kann ich einzelne Zertifikate im LDAP löschen?
Ich bin mir jetzt nicht sicher, aber könnte das in diesem Pfad sein:
CN=OID,CN=Public Key Services,CN=Services,CN=Configuration,DC=subdomain,DC=doamin,DC=de
Wenn ich mir jetzt ein Zertifikat ansehe, dann kann ich keinen Bezug zu den Einträgen in den Container CN=OID herstellen.
Das ist wie gesagt aber auch nur eine Vermutung von mir, dass hier die Zertifikate liegen.
Im Container CN=AIA ist ja nur, bzw. sind ja nur die eigentliche Zertifierungsstelle gelistet.
Wenn man sich das Attribut "cACertificate" ansieht, dann erkenne ich in diesem Fall 4 Einträge.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 374197
Url: https://administrator.de/contentid/374197
Printed on: April 19, 2024 at 19:04 o'clock
12 Comments
Latest comment
Zertifikate löscht man nicht, man Revoked (Wiederruft) sie. Grundregel NR. 1 einer CA.
Zum Thema siehe Certificate Directory
Zum Thema siehe Certificate Directory
Hi,
Heute schon gedownloaded?
E.
Zitat von @136166:
Zertifikate löscht man nicht, man Revoked sie. Grundregel NR. 1 einer CA.
Revoked ... schon klar.Zertifikate löscht man nicht, man Revoked sie. Grundregel NR. 1 einer CA.
Heute schon gedownloaded?
E.
War klar, das von dir nur Müll als Rückantwort kommt.
Hi,
wenn Du von einer Windows CA sprichst:
Hier sind die Zertifikate meines Wissens in der DB des CA-Dienst gespeichert.
Im AD sind diese nur veröffentlicht. Die Verteilung auf die Clients erfolgt per GPO.
An Benutzerobjekten kann man Zertifikate "anhängen". Diese werden dann im Attribut "userCertificate" des Benutzerobjekts gespeichert.
Was unter
CN=Public Key Services,CN=Services,CN=Configuration,DC=subdomain,DC=doamin,DC=de
steht sind meines Wissens nur Informationen über die CA und über die Zertifikatsvorlagen.
Schau mal hier: How Certificate Services Works
Dort steht auch etwas über den OID-Container.
E.
wenn Du von einer Windows CA sprichst:
Hier sind die Zertifikate meines Wissens in der DB des CA-Dienst gespeichert.
Im AD sind diese nur veröffentlicht. Die Verteilung auf die Clients erfolgt per GPO.
An Benutzerobjekten kann man Zertifikate "anhängen". Diese werden dann im Attribut "userCertificate" des Benutzerobjekts gespeichert.
Was unter
CN=Public Key Services,CN=Services,CN=Configuration,DC=subdomain,DC=doamin,DC=de
steht sind meines Wissens nur Informationen über die CA und über die Zertifikatsvorlagen.
Schau mal hier: How Certificate Services Works
Dort steht auch etwas über den OID-Container.
E.
Zitat von @136166:
War klar, das von dir nur Müll als Rückantwort kommt.
Hallo?!War klar, das von dir nur Müll als Rückantwort kommt.
Edit: Immerhin hat es Dich ja dazu bewogen, Deinen Kommentar nachträglich um "(Wiederruft)" zu ergänzen. Aber ohne, dass man das erkennt.
Edit 2: Wobei man "Widerruf" mit kurzem i schreibt ...
Kuckuck.
Zitat von @emeriks:
Hi,
wenn Du von einer Windows CA sprichst:
Hier sind die Zertifikate meines Wissens in der DB des CA-Dienst gespeichert.
Im AD sind diese nur veröffentlicht. Die Verteilung auf die Clients erfolgt per GPO.
An Benutzerobjekten kann man Zertifikate "anhängen". Diese werden dann im Attribut "userCertificate" des Benutzerobjekts gespeichert.
Was unter
CN=Public Key Services,CN=Services,CN=Configuration,DC=subdomain,DC=doamin,DC=de
steht sind meines Wissens nur Informationen über die CA und über die Zertifikatsvorlagen.
Schau mal hier: How Certificate Services Works
Dort steht auch etwas über den OID-Container.
E.
Hi,
wenn Du von einer Windows CA sprichst:
Hier sind die Zertifikate meines Wissens in der DB des CA-Dienst gespeichert.
Im AD sind diese nur veröffentlicht. Die Verteilung auf die Clients erfolgt per GPO.
An Benutzerobjekten kann man Zertifikate "anhängen". Diese werden dann im Attribut "userCertificate" des Benutzerobjekts gespeichert.
Was unter
CN=Public Key Services,CN=Services,CN=Configuration,DC=subdomain,DC=doamin,DC=de
steht sind meines Wissens nur Informationen über die CA und über die Zertifikatsvorlagen.
Schau mal hier: How Certificate Services Works
Dort steht auch etwas über den OID-Container.
E.
Ahh, jetzt kommen wir der Sache schon näher. Ich habe in der AD zwar keine Zertifikate gelöscht, sondern drei Sperrlisten. An den anderen beiden Veröffentlichspunkten unter System32/etc und http-Speicherort hatte ich die Sperrlisten auch entfernt.
Nach kurzer Zeit war alles wieder da. Außer im AD, da fehlten diese drei Sperrlisten.
Dann würde deine Aussage jetzt für mich auch einen Sinn ergeben. Kann das sein, dass man in der CA selber dort mit certutil -deletrow weiterkommt?
Nur mal eben zum Hintergrund:
Ich habe hier eine Testumgebung mit einer zweistufigen-CA. Das Zertifizierungsstellenzertifikat (was für ein Wort) habe ich mehrmals erneuert. Dass man das in der Praxis nicht in einer Woche 5 Mal macht, ist mir schon klar. Ich hatte nur gesehen, dass unter C:\Windows\System32\certsrv\CertEnroll sich dann die Zertifikate und deren Sperrlisten häufen. Ich wollte einfach nur wissen, wie, bzw. wo man die löschen kann.
Die Aussage von Kabelbruch (revoken) habe ich aber auch verinnerlicht.
Kann das sein, dass man in der CA selber dort mit certutil -deletrow weiterkommt?
Ich habe es selbst noch nicht probiert, aber ja, die Kommandozeilenhilfe liest sich so.
Jetzt lese ich mir gerade die von dir verlinkte Technetseite durch. Dort ist ja auch eine Grafik, die das sehr schön zeigt.
Da das ja nur eine Testumgebung ist, werde ich das mit certutil - deleterow probieren. Viel falsch machen kann ich da nicht. Dazu ist ja die Testumgebung da.
Da das ja nur eine Testumgebung ist, werde ich das mit certutil - deleterow probieren. Viel falsch machen kann ich da nicht. Dazu ist ja die Testumgebung da.
https://docs.microsoft.com/en-us/windows-server/administration/windows-c ...
Einfach DeleteRow die Anforderungs-ID übergeben die in der Konsole bei jeder Anforderung steht.
Einfach DeleteRow die Anforderungs-ID übergeben die in der Konsole bei jeder Anforderung steht.
certutil -deleterow <ID>
Ja super, das ist ja easy. Dann werde ich das heute noch ausprobieren.
Dann bedanke ich mich bei euch!
Dann bedanke ich mich bei euch!
