Windows Server 2012 R2 IIS-Manager, Web-Server einrichten

[Ben1804]

Hallo Liebe CB-Community,

ich versuche seit längerer Zeit ein zweistufiges PKI-System zu installieren, aber scheitere ständig an der Bereitstellung der Sperrlisten über einen lokalen Web-Server.

Aktueller Stand ist, dass ich eine Root und eine Sub-CA habe und gerne nochmal bei der Root-CA anfangen möchte.

Ich habe nach dieser Anleitung gearbeitet:

https://www.frankysweb.de/server-20082012-pki-installieren-teil-1/

"Zeile 17 und Zeile 20: Wenn sichergestellt werden soll, dass die Sperrliste auch von externen Clients erreichbar sein soll (Wichtig bei Clients ohne Verbindung zum AD), muss am Ende der Zeile einen Webserver angeben, der aus dem Internet erreichbar ist. Wer nur AD-Mitglieder bedienen muss, kann das Ende der Zeile entfernen (Nicht die ganze Zeile, nur das ab „n2“). Ich empfehle allerdings eine gültige URL einzutragen, später dazu mehr."

Könnt ihr mir hierbei helfen? Ich möchte die CRL-Listen gerne an meine AD-Mitglieder bereitstellen können, aber komme mit dem Web-Server nicht weiter.

Wie erstelle ich diesen richtig und wie muss mein Pfad aussehen, den ich schon in der Root-CA vorgebe?


Vielen vielen Dank im Voraus!

Lg,
Ben

 

[M4deman]

Welche CA Rollen hast du denn installiert?

Ich habe gerade mal auf einem Server nachgeschaut, da habe ich nur CA und den CA Web Enrollment Service (localhost/certsrv) - da wird ja dann der IIS mitinstalliert.

Wenn das gegeben ist, würde ich mal nach dieser Anleitung vorgehen:
https://itcalls.net/how-to-publish-...line-root-ca-to-active-directory-and-inetpub/

Da du ja nur in der AD verteilen willst, sollte das ja reichen. (Ob du eine Offline Root CA hast oder nicht ist in dem Fall irrelevant).
Ich arbeite allerdings nicht mit der CRL, deswegen kann ich dir nichts genaueres dazu sagen, sorry.

 

[Ben1804]

Guten Morgen,

auf der Offline Root-CA habe ich nur die Zertifizierungsstelle und auf der Sub-CA:

AD DS
DNS
IIS
Druckdienste


Ich werde es gleich mal mit deiner Anleitung ausprobieren.

Vielen Dank!

 

[M4deman]

Ich meinte eher die "Module" der CA Rolle.
Da gibt's ja mehrere Unterpunkte.

 

[Ben1804]

Ich habe nur die Zertifizierungsstelle auf beiden CAs und auf der Sub-CA noch den IIS installiert.

Aktueller Status meiner PKI:






Ich kann das Verzeichnis über den IIS-Manager öffnen und habe die Berechtigungen eingestellt, aber ich schaffe es nicht, dass ich etwas über den Internet Explorer angezeigt bekomme.

Da hier irgendwo der Wurm drin ist, funktioniert auch der Download nicht.

Ergänzung (17. September 2019)

Auszug aus der SUb-CA





Könnte das der Grund sein?

 

[nubi80]

Schau dir mal bitte an wofür die "Zertifizierungsstellen-Webregistrierung" zuständig ist.

 

[Ben1804]

Schau dir mal bitte an wofür die "Zertifizierungsstellen-Webregistrierung" zuständig ist.

Vielen Dank, habe es mir angeschaut.

Ergänzung (10. Oktober 2019)

-closed-