Habe auf meiner zweistufigen CA auf der SubCA, rechte Maustaste Eigenschaften, Reiter (Register) Erweitert, Punkt: Zugriff auf Stelleninformationen zwei URLs hinterlegt
=> http://aia.domainXY.ch/crl/......
angekreuzt habe ich hierbei: "in AIA-Erweiterung des ausgestellten Zertifikats einbeziehen"
=> http://ocsp.domainXY.ch/ocsp
angekreuzt habe ich hierbei: "In Online Certificate Status-Protocol(OCSP)-Erweiterungen einbeziehen"
Mit dem Kommandozeilentool Certutil habe ich dann mein neue generiertes Exchange Zertifikat auf OCSP Tauglichkeit getestet, wie folgt
certutil -verify -urlfetch -v PfadZumExchangeCert.cer
dabei war unteranderem betreffend OCSP eine Fehlermeldung aufgetaucht, welche leider nicht wirklich aussagekräftig ist
Frage: Was habe ich für Möglichkeiten, um herausfinden zu können, wo oder warum genau die Meldung erscheint, OCSP Prüfung nicht erfolgreich - gibt es OCSP LOGs oder sonst Tools, mit welchen ich mehr Details zur OCSP Prüfung erhalte?
---------------- Zertifikat-OCSP ----------------
JilQK%2fjAQU%2byCMJb1UTlKiALx43stiFHuEYxgCExIAAAAF lIeybqG%2fjjMAAAAAAAU%3d?Conte
nt-Type: application/ocsp-request
Nicht erfolgreich "OCSP" Zeit: 0
[0.0] http://ocsp.domainXY.ch/ocsp
--------------------------------
CRL 08:
Issuer: CN=domainXY-RootCA, DC=domainXY, DC=CH
ThisUpdate: 04.01.2016 12:11
NextUpdate: 03.01.2017 00:31
46de5d4ee5ff9ad75e1a81f884fe4e934c7aa93e
CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0
Issuer: CN=domainXY-RootCA, DC=domainXY, DC=CH
NotBefore: 12.07.2015 11:27
NotAfter: 12.07.2045 11:37
Subject: CN=domainXY-RootCA, DC=domainXY, DC=CH
Serial: 2ee48052524dfc9f4ac6c1bf64d76b90
bfca801e7257e89cd254d6873e9868208e548ea2
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
---------------- Zertifikat abrufen ----------------
Keine URLs "Keine" Zeit: 0
---------------- Zertifikat abrufen ----------------
Keine URLs "Keine" Zeit: 0
---------------- Zertifikat-OCSP ----------------
Keine URLs "Keine" Zeit: 0
--------------------------------
Exclude leaf cert:
c08f85ea8754e0fb37b42bcdc6a3800743b14268
Full chain:
276e28eaba62d0ec06c810af58a77eeaf1a0290f
------------------------------------
Verfizierte Ausstellungsrichtlinien: Kein
Verfizierte Anwendungsrichtlinien:
1.3.6.1.5.5.7.3.1 Serverauthentifizierung
Sperrstatussüberprüfung des untergeordneten Zertifikats erfolgreich abgeschlosse
n.
CertUtil: -verify-Befehl wurde erfolgreich ausgeführt.
Kommentar