ASA5505 und Zertifikate

[Whitewater 10]

Hallo Forum,

 

ich versuche auf einer ASA5505 die Zertifikats-Services zum Laufen zu bekommen.

Hier eine grobe Umschreibung der Testumgebung:

 

Cisco ASA5505

Subnetz: 10.96.0.0 / 16

 

baut einen Tunnel auf zu

 

Cisco Pix 515E

Subnetz: 172.16.0.0 / 16

 

Der Microsoft 2003 Zertifikatsserver steht im 172.16.0.0 Subnetz.

Ich habe die Zertifikate manuell beantragt und manuell auf die ASA aufgespielt.

Wenn ich nun aber versuche, die CRL zu beantragen, so sagt er mir "unable to retrieve crl".

Mir scheint es so, als ob er mit dem Zertifikatsserver aus dem 172er Netzwerk durch den VPN Tunnel nicht kommunizieren kann, aber RADIUS läuft zum Beispiel.

Habt ihr eine Idee?

Wenn jemand die Config sehen möchte, kann ich die dann ja posten.

 

Viele Grüße,

Whitewater

[osirus01 10]

Hi,

 

hast Du das mal mit dem SCEP-Protokoll probiert? Kannst Du bei MS downloaden und auf Deiner CA installieren. Dann gibst Du die URL (steht in der Hilfe von SCEP) auf der ASA ein. Darüber zieht die ASA sich dann die CRL.

 

Gruß

 

Osirus

[Whitewater 10]

Hi Osirus,

 

erstmal danke für den Hinweis.

Ich habe es mit SCEP auch noch einmal probiert, aber ohne Erfolg.

Es sieht für mich so aus, als ob er keine Verbindung zu der CA bekommt.

Hier mal ein Debug (crypto ca request Name 255):

 

crypto_pki_req(1ab7940, 24, ...)

Crypto CA thread wakes up!

CRYPTO_PKI: http connection opened

CRYPTO_PKI: content dump count 87----------

CRYPTO_PKI: For function crypto_http_send

GET /CertData/Name%20Corporate%20Root%20CA.crl HTTP/1.0

CRYPTO_PKI: For function crypto_http_send

CRYPTO_PKI: content dump-------------------

Crypto CA thread sleeps!

CRYPTO_PKI: Failed to retrieve CRL for trustpoint: Name_CA.

Retrying with next CRL DP...

crypto_pki_req(1ab7940, 24, ...)

Crypto CA thread wakes up!

CRYPTO_PKI: socket connect error.

CRYPTO_PKI: status = 0: failed to open http connection

 

Irgendeine Idee?

 

Gruß,

Sven

 

P.S.: Auch beim automatischen Enrollment des Zertifikats konnte ich keins bekommen, weil er die CA nicht erreichen konnte, daher habe ich das Zertifikat auf dem Router ja auch manuell (Base64) konfiguriert.

Kann es an irgendeiner Einstellung liegen, daß er die CA durch den Tunnel nicht erreichen kann? Wie gesagt: Radius läuft auf der gleichen Maschine wie die CA und das funktioniert.

[Wordo 11]

Wie ist den der Typ? Transport oder Tunnel? Sieht mit eher so aus als wuerde die externe IP der ASA nicht in den Tunnel "reinpassen"

[Whitewater 10]

Hi Wordo,

 

was genau meinst du mit "Typ"?

Die VPN Verbindung ist ein Tunnel.

 

Gruß,

Whitewater

[Wordo 11]

Wenn der Typ Tunnel ist, dann wird die externe IP der ASA nicht "in den Tunnel" passen, somit erreichst du auch nicht den Zertifikatsserver.

[Whitewater 10]

Hm, okay.

Wo stelle ich denn ein, ob es ein Tunnel oder Transport ist?

Habe ich vorher noch nicht gewusst und noch nirgendwo gesehen.

[Wordo 11]

Vielleicht kannst du bei der ASA sagen sie soll beim enrollen das interne IF als Source nehmen, dann wuerds in den Tunnel passen. Das siehst du nur nie weil der Typ Tunnel default ist.

[Whitewater 10]

ok, kann ich mal schauen.

Das witzige ist ja, daß , wenn ich die ASA nicht über VPN mit dem Subnetz der CA verbinde, sondern direkt anschliesse (d.h. über das interne IF), dann zieht er sich die CRL sofort und ohne Probleme...(laut CRL-Monitor hat er den Distribution Point vom internen IF genommen)