William Doyle
William Doyle 25.01.2021 19:48 (GMT+2) Test remote web server SSL certificate

Commenting out ErrorInformation solved the error:

New-Object : The value supplied is not valid, or the property is read-only. Change the value, and then try again.
At C:\Users\bdoyle1\Test-WebServerSSL.ps1:54 char:9
+         New-Object PKI.Web.WebSSLTest -Property @{
+         ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidData: (:) [New-Object], Exception
    + FullyQualifiedErrorId : SetValueException,Microsoft.PowerShell.Commands.NewObjectCommand

 

Alternately removing the "| ForEach-Object {$_.ChainStatus}" loop did the same.   

The problem seems to be if the chain status is empty {} PS5 can't handle it.

Luke
Luke 20.01.2021 00:36 (GMT+2) Designing CRL Distribution Points and Authority Information Access locations

Hello, I am deploying a single offline root ca and two issuing both hosting all roles (CDP, AIA, enrollment, OCSP) CA's, site-ca1 and site-ca2. Can I add DFSr to both servers and host the CRL and AIA http url's on a replicated folder and then add both CRL and AIA urls on as both locations? i.e. (is DFS even needed if both url's are set and post CRLs?)

CDP line1: http://site-ca1/site-ca1.crl 

CDP line2:http://site-ca2/site-ca2.crl

and the same for AIA on both servers?

Vadims Podāns
Vadims Podāns 19.01.2021 09:36 (GMT+2) Web server certificate enrollment with SAN extension

> Можно ли использовать SAN при Autoenrollment?

можно. Если шаблон настроен на построение имени из АД, то выберите нужный тип SAN в настройках шаблона. Если имя строится вручную из запроса, тогда настройте вкладку Subject в шаблоне на Supply In Request и включите галку, что имя копируется из запроса обновления сертификата. По причинам безопасности такие запросы должны вручную подтверждаться оператором CA на вкладке Issuance Requirements. Там же переставьте переключатель в valid existing certificate. В этом случае первичный запрос должен выполняться вручную (автоэнроллмент не сможет выполнить первичный запрос), а обновление сертификата уже может выполняться автоматически через автоэнроллмент. Вот такая идея.

Вадим
Вадим 19.01.2021 08:13 (GMT+2) Web server certificate enrollment with SAN extension

Добрый день, Вадим! Благодарю за статьи, очень полезно! Но у нас возник небольшой вопрос. Из статьи "Как правильно задавать имя сертификата при использовании расширения Subject Alternative Name (SAN)" и данной статьи. Можно ли использовать SAN при Autoenrollment? И как это сделать. Если у Вас есть пояснения по этому поводу или уже готовая статья, мы были бы очень благодарны Вам! Еще раз спасибо за Вашу работу!

Vadims Podāns
Vadims Podāns 12.01.2021 18:23 (GMT+2) How to merge certificate and private key to a PKCS#12(PFX) file

> I've a Certificate file (.csr) and a Key file (.key). My requirement is to generate a Java Key Store file (.jks) by merging these 2 files.

Please, ask your quesion on StackOverflow.