gnoovy

hehe... okay also ich bin so vorgegangen: Meine CA soll nach außen hin nicht sichtbar sein. Das ipsec-Zertifikat habe ich mit dem Recht Clientauthentifizierung ausgestattet und als Vorlage definiert. Auf meinem Ras-Server habe ich über die MMC Zertifikate im Bereich Computer "Neues Zertifikat anfordern" gewählt und dort mein ipsec-Zertifikat mit privatem Schlüssel ausgewählt. Das ipsec-Zertifikat habe ich mit privatem Schlüssel exportiert und zusätzlich noch das Zertifikat meiner stammzertifizierungsstelle also meiner CA aus"vertrauenswürdige stammzertifizierungsstellen". Diese Zertifikate habe ich an meinem Client, also der Außenstelle importiert. VPN-Verbindung somit erfolgreich. Jetzt wollte ich mal ein Szenario testen, dass der Client sich nicht mehr verbinden darf. Somit habe ich das ipsec-Zertifikat in meiner CA im Bereich ausgestellte Zertifikate gesperrt. Somit ist es nun unter gesperrte Zertifikate ersichtlich. Eine VPN-Verbindung ist jetzt auch nicht mehr möglich. Was mich jetzt halt noch wundert ist, dass das Zertifikat auf dem RAS-Server im Bereich "Eigenschaften-Zertifizierungspfad" als gültig angezeigt wird. Hier stellt sich mir die Frage ob das so korrekt ist oder ob hier nun auch irgendwas mit ungültig stehen müsste, da das Zertifikat ja gesperrt ist. Da nur mein RAS-Server die CA erreichen kann und somit auch mein Online-Responder, kann ja auch nur mein RAS-Server die Sperrung erkennen. Falls eine VPN-Verbinung mit anderen Außenstellen weiterhin möglich sein soll, würde ich entsprechend ein neues ipsec-Zertifikat ausstellen. Klar wäre es einfacher die CA nach außen hin sichtbar zu machen, damit die Clients sich direkt Zertifikate beziehen können, aber ist halt wieder eine Lücke...

Hi olc, irgendwie werde ich immer verwirrter :-) Du meinst ich muss den Cache auf der Außenstelle löschen? Diese kommt aber gar nicht an meine CA, da die CA nur in der Domäne erreichbar ist. OK, sagen wir mal das Zertifikat bleibt im Speicher des RAS-Servers bestehen. Stimmt es, dass im Zertifikat selber dann auch weiterhin "Dieses Zertifikat ist gültig" steht oder müsste da dann etwas anderes stehen? Das ist letztendlich das was mich etwas verunsichert. Denn die VPN-Verbindung ist ja bereits nicht mehr möglich...

hi olc, nochmals vielen Dank für deine Mühe. Ich hoffe ich bringe dich net zur Verzweiflung. Genau den Cache habe ich auf dem Ras-Server gelöscht. Die Außenstelle ignoriere ich erstmals, da diese ja meine ocsp-Url und somit meine CA an für sich net erreichen kann. Ich hatte somit das ipsec-Zertifikat damals vom RAS-Server exportiert und in den Client importiert. Wenn ich nach dem Löschen des Chaches auf dem RAS-Server "certutil - urlcache crl aufrufe erhalte ich folgende Ausgabe: C:\Users\administrator.WINNET>certutil -urlcache crl http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/au throotstl.cab ldap:///CN=winnet-ZERTSRV-CA,CN=ZertSrv,CN=CDP,CN=Public%20Key%20Services,CN=Ser vices,CN=Configuration,DC=winnet,DC=local?certificateRevocationList?base?objectC lass=cRLDistributionPoint WinHttp-Cacheeinträge: 2 CertUtil: -URLCache-Befehl ist fehlgeschlagen: 0x80070103 (WIN32/HTTP: 259) CertUtil: Es sind keine Daten mehr verfügbar. C:\Users\administrator.WINNET> winnet.local ist meine Domäne und zertsrv ist der Hostname der CA. Wenn ich mittels "certutil -setreg chain\ChainCacheResyncFiletime @now" den Chache aktualisiere erhalte ich folgende Ausgabe: C:\Users\administrator.WINNET>certutil -setreg chain\ChainCacheResyncFiletime @n ow Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChain Engine\Config\ChainCacheResyncFiletime: Alter Wert: ChainCacheResyncFiletime REG_BINARY = 30.01.2012 21:49 Neuer Wert: ChainCacheResyncFiletime REG_BINARY = 30.01.2012 22:50 CertUtil: -setreg-Befehl wurde erfolgreich ausgeführt. Der Dienst "CertSvc" muss neu gestartet werden, damit die Änderungen wirksam wer den. C:\Users\administrator.WINNET> Nach Neustart des RAS-Servers und erneuter Prüfung der Computerzertifikate ist mein ipseczertifikat trotzdem noch da und als gültig drin. Eine erneute Anzeige des Caches bringt wieder erste Meldung. Irgendwie passt da noch was net oder ich bin einfach übermüdet ;)

hi zusammen, @blub leider funktioniert der Link nicht. Ich habe mal den Cache auf der CA und dem RAS-Server geleert und die Server neu gestartet. @olc he... doch lese auf jeden Fall alle Posts sehr genau. Aber stehe manchmal auf dem Schlauch :-) Was mich halt wundert ist, dass offensichtlich durch Änderung der Sperrdauer auf 1 Stunde nun wohl die Sperrung via OCSP gezogen wird. Sonst könnte ich mich ja weiterhin über RAS anmelden. Per GPO habe ich im Computerbereich konfiguriert, dass gesperrte Zertifikate automatisch entfernt werden sollen. Gehe ich im RAS-Server in die Computerzertifikate steht dort weiterhin das ipsec-Zertifikate und dieses wird als gültig angezeigt. Hier müsste sich doch eigentlich auch was ändern oder? He... beschäftige mich mit beiden Terminen :-)

ah okay und wie kann ich das auf dem RAS beschleunigen? und weshalb ist dann jetzt auf einmal keine RAS-Verbindung mehr möglich? Dann muss er ja theoretisch schon was gezogen haben oder?

gut in der Sperrliste steht jetzt auch immer ca. ne Stunde drin. Eine Ras-Verbindung ist jetzt auch nicht mehr möglich. Mich wundert es halt, dass in meinem Ras-Server das ipsec-Zertifikat trotzdem noch als gütlig steht, obwohl es ja auf der CA im Bereich der ausgestellten Zertifikate gesperrt wurde und sich ja jetzt auch unter den gesperrten Zertifikaten befindet.

also habe das Intervall auf eine Stunde eingestellt. Das Scheint auch zu funktionieren wenn ich mir die Sperrliste anschaue. allerdings ist das Zertifikat trotzdem noch als gültig im Ras-Server hinterlegt. Allerdings ist jetzt keine Verbindung mehr mit Routing und Ras möglich. Also hat die Sperrung nun geklappt? Aber weshalb werden die Zeritifikate noch als gültig angezeigt? Wenn Ihr Screenshots oder weitere Infos braucht jeder Zeit.

ahhh ich de** :-) klaro dort steht ja eine Woche drin. Also bedeutet dass, dass mein Ras-Server erst nach dieser Woche gesagt bekommt, dass sein Zertifikat nicht mehr gültig ist oder?

hi olc, eingesetzt werden als DC und CA Windows 2008 R2 Server und Clients Windows 7. Alle mit SP1. Wo kann ich denn sehen in welchem Intervall die Sperrlisten veröffentlicht werden? Habe auf der CA lediglich den Online-Responder installiert. Ich hatte das so verstanden, dass die Server / Clients ja automatisch beim Online Responder nachfragen.

Hi zusammen, ich habe (erstmals in einer Testumgebung) eine einstufige Windows CA aufgesetzt und ein ipsec-Zertifikat für einen RAS-Server und für einen Windows7-client ausgestellt um damit VPN-Verbindungen zu realisieren. Für die Zertifikatssperrlisten habe ich auf der CA einen Online-Responder eingerichtet. Nun habe ich auf der CA das ausgestellte ipsec-Zertifikat gesperrt. Es wird auch unter gesperrte Zertifikate angezeigt. Mittels GPO-Richtlinien sollen gesperrte Zertifikate auch automatisch entfernt werden. Allerdings bleibt das Zertifikat auf dem RAS-Server bestehen und wird weiterhin als gültig angezeigt. Der Online-Responder ist im Zertifikat hinterlegt. Was könnte da das Problem sein? Hoffe ich habe alles gepostet was wichtig ist. Wenn nicht einfach laut Schreien. :-)

hi zusammen, eine zusätzlche Frage hab ich noch. Jetzt würde ich gerne im Anschluss meine VPN-Verbindung mit Zertifikaten absichern. Hierfü habe ich in meiner Testumgebung eine CA erstellt. Dadurch habe ich die Zertifikatvorlage IPSec eingerichtet und auf dem Rasserver im persönlichen Bereich der Computerzertifikate eingerichtet. Dieses Zertifikat und das Zertifikat der Stammzertifizierungsstelle, welche beim Rasserver unter "Vertrauenswürdige Stammzertifizierungsstellen" eingerichtet ist habe ich vom Rasserver exportiert und am Client der Außenstelle importiert. Leider bekomme ich beim Verbindungsaufbau dann den Fehler 810. Also das etwas mit den Zertifikaten nicht stimm. Was mache ich denn da noch falsch?

interessant. Ich habe es jetzt hinbekommen. Der große Unterschied zur Domäne und Arbeitsgruppe scheint das EAP-Protokoll zu sein. Nur wenn dieses aktiviert ist funktioniert eine erfolgreiche Verbindung. Habe jetzt noch die Sicherheitseinstellungen konfiguriert wie ipsec, nur l2tp-verbindungen, nps-richtlinien und so weiter und geht ganz gut. Aber wieso geht das hier nur mit EAP? Liegt das an meinem Windows7 SP1 Testclient?

Hi zusammen, ich möchte in einer Windows 2008 R2 Domäne einen Routing und Ras-Server einrichten, damit Außenstellen über VPN sich in das Netz einwählen können. Hierzu habe ich erstmals eine Testumgebung erstellt. Testumgebung ohne Domäne, also zwei Arbeitsgruppennetzwerke funktioniert meine VPN-Verbindung mittels RRAS-Server wunderbar. Testumgebung mit Domäne und gleichen RRAS-Einstellungen bekomme ich keine Verbindung. Screenshot "RRAS Konfig" zeigt meine Konfiguration des RRAS-Servers. Screenshot "Meldung Außenstelle" zeigt die Fehlermeldung des Clients, inklusive dessen VPN-Einstellung. GPOs sind noch keine definiert. Was mache ich hier falsch?

hi Nerd, oki habe für den Anfang request Security getestet. Laut Netzwerk-Sniffer erscheint, sobald ich auf normale oder $-Freigaben eines DCs, servers, Clients wechsle, ESP. Somit scheint ja die Verschlüsselung zu funktionieren oder? Bezüglich require Security sehe ich halt das Problem, dass bis auf dem DC an dem ich die Richtlinie definiere die anderen Rechner die GPO schon gar nicht mehr bekommen, da require Security gleich sperrt. Nur wenn ich diese Richtlinie einsetzten möchte wie genau muss ich da Zertifikate in die Konfiguration einbinden? Eine CA habe ich in die Testumgebung implementiert. In der require Security-Richtlinie habe ich im Bereich Authentifizierung eine vorhandene Kerberos-Konfiguration gesehen. Dort habe ich zusätzlich ein Zertifikat-Autentifizierung angegeben und ein Zertifikat meiner CA eingesetzt. Trotzdem wird die Kommunikation bei aktivierter Richtlinie weiterhin gesperrt.

ok aber wenn ich mit request security arbeite und ich auch verbindungen zustande bekomme woher weiß ich dann ob er auch wirklich ipsec benutzt oder sich normal verbindet? Ah okay geht das nicht auch ohne Zertifikate? Zusammengefasst bedeutet das ja dann folgendes: - Installation Windows CA in Testdomäne - Austellung Ipsec-Zertifikat über Zertifikatvorlage - Anforderung des Zertifikats auf allen Servern / Clients - Freischaltung der GPO Require Security Richtig so? :-)

hi zusammen, ich habe eine generelle Frage zu ipsec. Primär wird ja ipsec zur Verbindung zwischen zwei oder mehreren Standorten verwendet. Nur da ja "man in the middle attacken" nichts mehr seltenes sind und mittels einem Netzwerksniffer auch der Datenverkehr in einem internen Netzwerk ausspioniert werden kann wollte ich erstmals in einer Testumgebung für das interne Netzwerk ipsec einrichten. Hierzu habe ich in einer neuen GPO-Richtlinie "Secure Server (Require Security)" auf meinem Test-DC mit OS W2k8 R2 SP1 gewählt. Wohl mit der Absicht andere Clients, welche keine Verschlüsselung unterstützen, abzuweisen. Wenn ich diese Richtlinie zuweise kann sich jedoch mein Windows7 Client ebenfalls mit SP1 und Mitglied in der Domäne nicht mehr mit dem Server verbinden. Was habe ich hier noch falsch gemacht?

hi olc, vielen Dank für die Rückantwort :-) Also gemäß deinem Text muss ich also wirklich das Zertifikat vom KRA aus Eigene Zertifikate im Benutzer-Zertifikats-Bereich wegsichern. Okay :-) Und ist es auch soweit korrekt, dass wenn meine ursprüngliche CA einen Online responder für Zertifikatssperrlisten eingerichtet hatte ich diesen auf der neuen CA einfach wieder neu einrichten muss? Habe im Internet dazu nichts gefunden und eine Art Sicherung im SnapIn des Responders ebenfalls nicht. Sobald ich das weiß wäre ich auch mit meinen Fragen am Ende :-)

hi zusammen, kann mir hier keiner mehr weiterhelfen? Wie macht ihr das? Kann ich so sichern?

hi zusammen, habe einen der Technet-Artikel auf deutsch gefunden und umgesetzt. CA ist auf einem Server gleichen Namens wiederhergestellt. worden. Prinzipiell bin ich so vorgengangen, dass ich über das Zertifikats-SnapIn eine Sicherung durchgeführt habe und einen Registry-Export von "HKLM\SYSTEM\CurrentControlSet\services\CertSvc\Configuration durchführte. Auf dem neuen CA Zertifikatsdienste installiert, Sicherung über das ZertifikatssnapIn wiederhergestellt, Registry-Export importiert und ZertifikatsDienste neu gestartet. Funktioniert auch soweit. Allerdings kann ich ein verloren gegangenes Zertifikat auf einem Client nicht wiederherstellen. Key Recovery Agent ist aktiviert. Das Zertifikat des Key Recover Agents ist in der CA hinterlegt. Dieses habe ich exportiert und auf der CA unter Benutzer-Eigene Zertifikate wiederhergestellt um auf der CA selbst verlorengegangene Zertifikate wiederherstellen zu können. Der Befehl certutil -getkey <Seriennummer> recovery.p7b funktioniert Der Befehl certutil -recoverkey recovery.p7b recovery.pfx funktioniert hingegen nicht. Es erscheint immer die Meldung "die schlüsselwiederherstellung erfordert eines der folgenden zertifikate und dessen privaten schlüssel"..... Was mache ich hier noch falsch?

Hi zusammen, ich beschäftige mich zur Zeit mit den Windows Zertifikatsdiensten unter Windows 2008 R2. So weit so gut nur wie kann ich eine Zertifizierungsstelle wiederherstellen nach einem Ausfall? Bisher habe ich Testläufe unter Vmware durchgeführt. Ich sichere stets den Systemstatus der Zertifizierungsstelle. Schalte ich diese dann ab und bereite die gleiche Vmware-Umgebung nochmals auf, als die Zertifizierungsstelle lediglich nur Member-Server war kann ich mich an dieser Umgebung nicht an Windows anmelden. Es erscheint immer der Hinweis dass die Vertrauensstellung nicht stimme. Melde ich mich dann dort lokal an und sichere den Systemstatus zurück, bleibt die Problematik bestehen. Nehme ich vor der Rücksicherung den Server aus der Domäne raus und wieder rein klappt wieder die Anmeldung, allerdings ist nach Rücksicherung des Systemstatus die Anmeldeproblematik wieder da. Somit die Frage wie ich bei einer Wiederherstellung vorgehen muss? Hoffe ihr könnt mir da helfen...

hi leutz, ich beschäftige mich zur Zeit mit den Windows-Zertifikatsdiensten unter Windows 2008 R2 und habe diesbezüglich einige Fragen: 1) Umstellung Website /certsrv auf https - Im IIS unter Bindungen https hinzugefügt - Als Zertifikat hab ich das durch die Installation der CA bereits hinzugefügte genommen mit: - "Garantiert dem Remotecomputer Ihre Indentität" - "Garantiert die Indentität eines Remotecomputers" - Bei der Website /certsrv habe ich unter SSL-Einstellungen "erforderlich" angehakt - Auf den Clients habe ich das Benutzer-Zertifikat ausgerollt, Aufbau über https erfolgreich Ist das so richtig gemacht worden? 2) Konfiguration Schlüsselwiederherstellungsagent Um private Schlüssel für ausgestellte Zertifikate zentral auf der CA zu speichern hab ich den Key Recovery Agent konfiguriert und Aktiviere nun bei jeder erstellten Zertifikatvorlage "Privaten Schlüssel für die Verschlüsselung aktivieren". - Wie kann ich den Schlüssel im Zweifelsfall wiederherstellen wenn ein Client neu installiert wurde? Oder wird das automatisch gemacht? - Ist das korrekt, dass ich das Zertifikat "Key Recovery Agent" auf einem Client angefordert habe? Erst danach konnte ich unter den Eigenschaften der CA den Agent aktivieren oder hätte ich das auf der CA selber anfordern sollen? 3) Wiederherstellung einer CA Zur Sicherung einer CA sichere ich die Systemstatusdateien. Falls die CA nicht mehr funktionsfähig ist, kann ich einfach das Computerkonto im AD löschen, eine neue CA mit gleichem Namen wieder als Member-Server einrichten und den Systemstatus zurücksichern?

okay auch wieder wahr. Gut ob Benutzer oder Computerzertifikate ausgerollt werden müsste ich ja dann sehen wenn ich mal eine eigene Vorlage kreiere. Was ist dann genau der Unterschied zwischen Ausrollen und Registrieren?

okay aber nur so interessehalber zu den Windows-Zertifikaten. Müssten die nicht im Zertifikat-Snapin erscheinen? Mal unabhängig ob das Zertifikat mit Tomcat funktioniert...

naja sollte es das nicht wenn man eine Zertifikatvorlage mit "Automatisch registrieren" konfiguriert hat? Also befasse mich erst seit kurzem mit Zertifikate. Wenn ich was falsch verstanden habe, ruhig schimpfen ;) Dachte nur wenn man Zertifikate als automatisch registriert konfiguriert, dass diese automatisch im Zertifikate-SnapIn der Windows-Clients / Server landen.

he... ja im Tomcat geht das nicht automatisch, aber Tomcat läuft ja auf einer Windows7-Büchse und wenn ich ein Zertifikat von einer Windows-CA automatisch verteilen lasse, sollten die Zertifikate im Zertifikat-SnapIn des Windows-Clients doch auftauchen oder? Das hat ja erstmals mit Tomcat nichts zu tun :-) Mein Problem besteht ja gerade noch darin das ich nicht weiß, wieso das Zertifikat meiner Windows-Zertifizierungsstelle nicht auf dem Windows7-Client ausgerollt wird :-) Nicht das wir aneinander vorbei reden :-)