AD CS - CDP - Delta Sperrlisten Pluszeichen im URI - 26.08.2016
von Thomas Windscheif / Microlinc
Symptom:
Zertifikatsperrlisten können nicht validiert werden
Die AD CS Umgebung besteht aus einer Issuing CA und einem dedizierten Server für die Zertifikatsverteilung (CDP).
Die CRLs und Delta-CRLs werden nur auf dem dedizierten CDP-Server über den Internet Information Server bereitgestellt.
Wenn man im IIS Directory Browsing aktiviert und die einzelnen Files über einen Browser aufruft, erhält man bei den Delta-CRLs einen HTTP 404 Fehler zurück. Die Delta-CRL-Dateien enthalten ein "+"-Zeichen im Dateinamen.
Ab IIS 7.0 wird das "+"-Zeichen standardmäßig geblockt. Um das Verhalten zu ändern, muss man im IIS für den virtuellen Ordner die Anforderungsfilterung (Request Filtering) anpassen. Hierzu öffnet man die Featureansicht des virtuellen Ordners und klickt hier auf "Anforderungsfilterung" (Request Filterung). Anschließend wählt man auf der rechten Seite im Aktionsbereich "Featureeinstellungen bearbeiten". Im neu öffnenden Dialog hakt man den Punkt "Doppelte Escapezeichen zulassen" an und klickt abschließend auf "OK".
Siehe:
https://technet.microsoft.com/en-us/library/dd379478%28v=ws.10%29.aspx