:strip_icc():strip_exif()/u/82975/crop633eccabd9275_cropped.jpg?f=community)
Situatie:
Microsoft Windows 2019 ADCS configuratie. 1 Root CA geen sub CA.
Root CA geldig tot halverwege 2025. Om te voorkomen dat nieuwe certificaten geen jaar meer geldig kunnen zijn, hebben we het Root CA vernieuwd in de huidige ADCS server.
Hierdoor dus tijdelijk 2 Root CA's. Nieuwe certificaten worden netjes uitgegeven met het nieuwe Root CA met nieuwe einddatum ver in toekomst. Werkt allemaal prima op alle domein end devices.
Echter krijgen we nu meldingen op certificaten die nog met het oude Root CA zijn uitgegeven dat deze wel vertrouwd zijn, Root CA vertrouwd is, alleen kan de revocation check niet worden uitgevoerd.
Met Wireshark gekeken wat er fout gaat en deze geeft bij een certificaat vanuit de nieuwe Root CA een OCSP request naar de ADCS server waarop de OCSP responder role actief is. Daarna keurig een OCSP response met certstatus: good.
Echter wanneer we dit doen met een certificaat van het oude Root CA, krijgen we als response: unauthorized.
Ik snap dat dit veroorzaakt wordt doordat er een nieuw Root CA gemaakt is, echter begrijp ik niet hoe we dit kunnen oplossen.
Simpelste oplossing alle certificaten vernieuwen is niet echt een optie, aangezien deze ook verweven zitten met client authenticatie.
Wie kan mij uitleggen wat ik over het hoofd zie?
[Aanvulling]
PKIview staat alles goed, Online Responder geeft ook geen fouten.
Microsoft Windows 2019 ADCS configuratie. 1 Root CA geen sub CA.
Root CA geldig tot halverwege 2025. Om te voorkomen dat nieuwe certificaten geen jaar meer geldig kunnen zijn, hebben we het Root CA vernieuwd in de huidige ADCS server.
Hierdoor dus tijdelijk 2 Root CA's. Nieuwe certificaten worden netjes uitgegeven met het nieuwe Root CA met nieuwe einddatum ver in toekomst. Werkt allemaal prima op alle domein end devices.
Echter krijgen we nu meldingen op certificaten die nog met het oude Root CA zijn uitgegeven dat deze wel vertrouwd zijn, Root CA vertrouwd is, alleen kan de revocation check niet worden uitgevoerd.
Met Wireshark gekeken wat er fout gaat en deze geeft bij een certificaat vanuit de nieuwe Root CA een OCSP request naar de ADCS server waarop de OCSP responder role actief is. Daarna keurig een OCSP response met certstatus: good.
Echter wanneer we dit doen met een certificaat van het oude Root CA, krijgen we als response: unauthorized.
Ik snap dat dit veroorzaakt wordt doordat er een nieuw Root CA gemaakt is, echter begrijp ik niet hoe we dit kunnen oplossen.
Simpelste oplossing alle certificaten vernieuwen is niet echt een optie, aangezien deze ook verweven zitten met client authenticatie.
Wie kan mij uitleggen wat ik over het hoofd zie?
[Aanvulling]
PKIview staat alles goed, Online Responder geeft ook geen fouten.
[ Voor 3% gewijzigd door winux op 05-03-2024 10:51 ]
:strip_icc():strip_exif()/u/84973/images.jpg?f=community)