RAS Server mit Zertifikaten

[ablaze 10]

Ich möchte in meiner AD Umgebung einen RAS Server integrieren. Die Einwahl auf den RAS Server soll mit Hilfe von Zertifikaten erfolgen.

 

Bis jetzt gibt es in der Domäne noch keine Zertifizierungsstelle.

 

Folgende Punkte habe ich schon durchgeführt:

- Erstellen einer Unternehmens Stamm CA auf einem Win Server 2003 R2 Std. Dieser Server ist Mitglied der AD, kein DC.

- Die Untergeordnete CA läuft auf einem DC (Win Server 2003 R2 Std) der AD mit.

- Der RAS Server ist ein seperater Win Server 2003 R2 Std. Die Konfiguration zum RAS Server habe ich soweit auch schon durchgeführt.

 

 

Der VPN Client kann sich mit EAP am RAS Server anmelden.

 

Anschließend habe ich die Stamm CA ausgeschalte, die Einwahl klappt dann noch zwei Tage. Anschließend nicht mehr. Wenn ich die Stamm CA wieder einschalte, klappt die Einwahl wieder.

 

Die Meldungen aus dem Event-Log des RAS Servers habe ich angehängt.

 

 

Was habe ich falsch gemacht?

 

 

[solinske 10]

Wo wird die CRL (Zertifikatssperrliste) veröffnetlicht?

 

So wie ich es sehe wird diese nur auf der ROOT CA veröffentlicht, und deswegen geht es nicht.

[ablaze 10]

wie kann ich das am besten nachschauen?

[solinske 10]

Ich habe hier mal einen guten Link zu diesem Thema:

 

Manuelles Veröffentlichen der Zertifikatsperrliste

 

Ich hoffe der hilft dir weiter.

[ablaze 10]

Dass ist aber nur eine manuelle Lösung.

 

Kann man das nicht einstellen,

dass die Untergeordnete CA die Sperrliste automatisch veröffentlicht wird??

[solinske 10]

Aber sicher doch:

 

Sperren von Zertifikaten und Veröffentlichen von CRLs

[ablaze 10]

Ich habe mir beide Links nocheinmal genau durchgelesen und noch keine spezielle Konfiguration durchgeführt (ich habe die CA mit den Std. Einstellungen konfiguriert).

 

Finde finde ich eigentlich raus, ob eine CA Sperrlisten veröffentlicht? Kann ich einfach in die Freigabe schauen?

 

Da ich auf meiner Untergeordneten CA gesehen habe, dass diese Freiagbe (\\...CertEntroll) besteht. In der Freigabe sind folgende Dateien: 2 x Sicherheitszertifikate, 1 x ASP Dateie, 4 x Zertifikatsperrliste.

 

Auch meiner Stammzertifizierungsstelle ist ebenfalls eine Freigabe zu finden, hier liegen 2 x Sicherheitszertifikate, 1 x ASP Dateie, 1 x Zertifikatsperrliste.

 

 

>> Kann das nicht sein, dass beide Zertifizierungsstellen Sperrlisten veröffentlichen. Aber mein RAS Server die falsche (Stammzertifizierungsstelle) Sperrliste sucht.

[olc 18]

Hi,

 

welche Sperrliste verwendet wird, bestimmt im Grunde das Zertifikat selbst. D.h. öffne einmal das Zertifikat per Doppelklick (oder dumpe es per certutil auf der Kommandozeile) und schaue, welche CRL / Sperrliste geprüft wird. Du kannst es auch direkt mit "certutil -verify -urlfetch ZERTIFIKAT.cer" überprüfen - dann bekommst Du angezeigt, ob die notwendigen Verteilungspunkte erreichbar sind.

 

Viele Grüße

olc

[ablaze 10]

Ich habe mir das Zertifikat für die Clientauthentifizierung, Serverauthentifizierung auf dem RAS Server angeschaut:

 

Unter Details/ Sperrlisten-Verteilerpunkte sind wenn ich das richtig "trenne" zwei Punkte angegeben. Aber beidesmal steht hier die Untergeordnete CA drin. Das wäre soweit richtig.

 

Mit "certutil -verify -urlfetch ZERTIFIKAT.cer". Hier kommt eine Menge zurück:

 

----------------  Zertifikat abrufen  ----------------
Überprüft "Basissperrliste (32)" Zeit: 0
[0.0] ldap:///CN=....%20U%20CA,CN=....,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=..., DC=localcertificateRevocationList?base?objectClass=cRLDistributionPoint

Überprüft "Deltasperrliste (32)" Zeit: 0
[0.0.0] ldap:///CN=....%20U%20CA,CN=.....,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=...., DC=localdeltaRevocationList?base?objectClass=cRLDistributionPoint

Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HTTP: 503) [0.1.0] http://k..../CertEnroll/KZVBW%20U%20CA+.crl

Gescheitert "CDP" Zeit: 0
Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HTTP: 503) http://...../CertEnroll/KZVBW%20U%20CA.crl

 

Dort wo ... steht, stand entweder die Domäne drin oder der Servername der Untergeordneten CA. Das könnte doch die Erklärung sein, warum die Stammzertifizierungsstelle laufen muss, damit die RAS Einwahl funktioniert.

 

 

Wie kann ich die Fehler beheben?

[olc 18]

Hi,

 

ich habe gerade erst gelesen, daß Du die Stamm CA AD-integriert als offline CA betreibst. Das ist so vom Design her nicht wirklich korrekt - eine offline Root CA betreibt man im Normalfall als Stand-Alone CA ohne Domänen-Mitglied zu sein, um Probleme bei der Domänenmitgliedschaft und der langen offline Zeit zu vermeiden. Das aber nur am Rande.

 

Die Ausgabe des certutil-Befehls sollte im Normalfall noch mehrere Punkte umfassen, nicht nur die von Dir angegebenen. Aber in dem Export von Dir oben ist zu sehen, daß auf die HTTP CDP nicht zugegriffen werden kann. Das solltest Du einmal gegenprüfen.

 

Das Stamm-CA Zertifikat sollte ebenfalls in der AD verfügbar sein sowie die CRLs und Delta. Das Problem dabei ist jedoch, daß die Pafde in dem Zertifikat der Untergeordneten CA enthalten sein müssen, damit diese die Zertifikatkette korrekt vervollständigen kann.

 

Ich vermute, Du hast den Intervall für das veröffentlichen der Delta CRL auf der Stamm-CA auf einen Tag gesetzt? Damit würde sich erklären, warum ab dem zweiten Tag Probleme auftreten - die Delta CRLs fehlen schlichtweg und unter Umständen Ihr Zugriffspunkt. Sind denn die Delta CRLs als auch die normalen CRLs der Stamm CA auch im AD veröffentlicht? Ist die Stammzertifizierungsstelle eine Enterprise CA (dann sollte das automatisch passieren) oder eine Stand-Alone CA, die halt nur ein Domänen-Mitlgied ist? In letzterem Fall müßtest Du AIA (also Zertifikat der Stammzertifizierungsstelle) als auch die CDP (CRLs / Delta CRLs) selbst im AD veröffentlichen.

 

Viele Grüße

olc

[ablaze 10]

Kann ich die Stamm CA einfach aus der Domäne herrausnehmen (nur mal aus der Sicht der Zertifizierungsstelle)? Wahrscheinlich nicht.

 

Ich habe den Befehl nocheinmal abgesetzt.

 

Aussteller:
   CN=[Name Untergeordnete CA]
   DC=[Domain]
   DC=local
Antragsteller:
   CN=[servername RAS Server]
Zertifikatseriennummer: 14b866c4000000000004

dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwRevocationFreshnessTime: 20 Hours, 53 Seconds

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwRevocationFreshnessTime: 20 Hours, 53 Seconds

CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
 Issuer: CN=[Name Untergeordnete CA], DC=[Domain], DC=local
 Subject: CN=[servername RAS Server]
 Serial: 14b866c4000000000004
 Template: Machine
 0e c8 18 c5 78 fb 1d 4a 25 36 9a 1b 42 88 99 df 08 fc c5 56
 Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
 Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
 ----------------  Zertifikat abrufen  ----------------
 Überprüft "Zertifikat (0)" Zeit: 0
   [0.0] ldap:///CN=[Name Untergeordnete CA],CN=AIA,CN=Public%20Key%20Services,CN=Service
s,CN=Configuration,DC=[Domain],DC=local?cACertificate?base?objectClass=certificatio
nAuthority

 Falscher Aussteller "Zertifikat (1)" Zeit: 0
   [0.1] ldap:///CN=[Name Untergeordnete CA],CN=AIA,CN=Public%20Key%20Services,CN=Service
s,CN=Configuration,DC=[Domain],DC=local?cACertificate?base?objectClass=certificatio
nAuthority

 Gescheitert "AIA" Zeit: 0
   Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HT
TP: 503)
   http://[servername untergeordnete CA]/CertEnroll/[Name Untergeordnete CA].local_KZVBW%20U%
20CA.crt

 

 

Ich musste wegen der Zeichenbeschräkung den Beitrag teilen.

[ablaze 10]

  ----------------  Zertifikat abrufen  ----------------
 Überprüft "Basissperrliste (39)" Zeit: 0
   [0.0] ldap:///CN=[Name Untergeordnete CA],CN=[servername untergeordnete CA],CN=CDP,CN=Public%20Key%20Serv
ices,CN=Services,CN=Configuration,DC=kzvbw,DC=local?certificateRevocationList?ba
se?objectClass=cRLDistributionPoint

 Überprüft "Deltasperrliste (39)" Zeit: 0
   [0.0.0] ldap:///CN=[Name Untergeordnete CA],CN=[servername untergeordnete CA],CN=CDP,CN=Public%20Key%20Se
rvices,CN=Services,CN=Configuration,DC=kzvbw,DC=local?deltaRevocationList?base?o
bjectClass=cRLDistributionPoint

 Gescheitert "CDP" Zeit: 0
   Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HT
TP: 503)
   [0.1.0] http://[servername untergeordnete CA]/CertEnroll/KZVBW%20U%20CA+.crl

 Gescheitert "CDP" Zeit: 0
   Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HT
TP: 503)
   http://[servername untergeordnete CA]/CertEnroll/KZVBW%20U%20CA.crl

 ----------------  Basissperrliste veraltet  ----------------
 OK "Deltasperrliste (39)" Zeit: 0
   [0.0] ldap:///CN=[Name Untergeordnete CA],CN=[servername untergeordnete CA],CN=CDP,CN=Public%20Key%20Serv
ices,CN=Services,CN=Configuration,DC=kzvbw,DC=local?deltaRevocationList?base?obj
ectClass=cRLDistributionPoint

 Gescheitert "CDP" Zeit: 0
   Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HT
TP: 503)
   http://[servername untergeordnete CA]/CertEnroll/KZVBW%20U%20CA+.crl

 --------------------------------
   CRL 39:
   Issuer: CN=[Name Untergeordnete CA], DC=Domain], DC=local
   20 17 7d 04 59 c9 05 65 c7 94 c2 fa 05 b9 c4 c7 d7 19 57 ff
   Delta CRL 39:
   Issuer: CN=[Name Untergeordnete CA], DC=[Domain], DC=local
   b5 9a 8e 01 db 5e 14 e6 d4 61 39 59 c2 50 1f b8 92 6b bd c0
 Application[0] = 1.3.6.1.5.5.7.3.2 Clientauthentifizierung
 Application[1] = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung

CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=0
 Issuer: CN=[Name Stamm CA], DC=[Domain], DC=local
 Subject: CN=[servername untergeordnete CA], DC=[Domain], DC=local
 Serial: 6165de4e000000000002
 Template: SubCA
 67 4c 93 64 31 ee 60 2c f4 de d5 f6 b1 27 c5 26 5b 11 f3 39
 Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
 Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
 ----------------  Zertifikat abrufen  ----------------
 Überprüft "Zertifikat (0)" Zeit: 0
   [0.0] ldap:///CN=[Name Untergeordnete CA],CN=AIA,CN=Public%20Key%20Services,CN=Ser
vices,CN=Configuration,DC=[Domain],DC=local?cACertificate?base?objectClass=certific
ationAuthority

 Gescheitert "AIA" Zeit: 0
   Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HT
TP: 503)
   http://[servername Stamm CA]/CertEnroll/tu-server-16.kzvbw.local_KZVBW%20
Stamm%20CA.crt

[ablaze 10]

 ----------------  Zertifikat abrufen  ----------------
 Überprüft "Basissperrliste (32)" Zeit: 0
   [0.0] ldap:///CN=[servername Stamm CA],CN=[servername Stamm CA],CN=CDP,CN=Public%20Key%2
0Services,CN=Services,CN=Configuration,DC=[Domain],DC=local?certificateRevocationLi
st?base?objectClass=cRLDistributionPoint

 Überprüft "Deltasperrliste (32)" Zeit: 0
   [0.0.0] ldap:///[servername Stamm CA],CN=[servername Stamm CA],CN=CDP,CN=Public%20Key
%20Services,CN=Services,CN=Configuration,DC=[Domain],DC=local?deltaRevocationList?b
ase?objectClass=cRLDistributionPoint

 Gescheitert "CDP" Zeit: 0
   Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HT
TP: 503)
   [0.1.0] http://[servername Stamm CA]/CertEnroll/KZVBW%20Stamm%20CA+.crl

 Gescheitert "CDP" Zeit: 0
   Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HT
TP: 503)
   http://[servername Stamm CA]/CertEnroll/KZVBW%20Stamm%20CA.crl

 ----------------  Basissperrliste veraltet  ----------------
 OK "Deltasperrliste (33)" Zeit: 0
   [0.0] ldap:///CN=[servername Stamm CA],CN=[servername Stamm CA],CN=CDP,CN=Public%20Key%2
0Services,CN=Services,CN=Configuration,DC=[Domain],DC=local?deltaRevocationList?bas
e?objectClass=cRLDistributionPoint

 Gescheitert "CDP" Zeit: 0
   Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HT
TP: 503)
   http://[servername Stamm CA]/CertEnroll/KZVBW%20Stamm%20CA+.crl

 --------------------------------
   CRL 32:
   Issuer: CN=[Name Stamm CA], DC=[Domain], DC=local
   93 cc c9 55 8a de 27 5f 52 54 7e 65 d0 16 47 57 fd 0c 82 f8
   Delta CRL 33:
   Issuer: CN=[Name Stamm CA], DC=[Domain], DC=local
   df 65 f1 02 7f d7 e4 3d 24 11 2f 7a 2c b0 d7 55 be bb d7 a5

CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0
 Issuer: CN=[Name Stamm CA], DC=[Domain], DC=local
 Subject: CN=[Name Stamm CA], DC=[Domain], DC=local
 Serial: 389eb36162978b8c4166018b65ed9531
 Template: CA
 77 38 37 89 eb a2 f4 5d 72 41 8f c2 aa 43 31 bf 75 7c 8e 1f
 Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
 Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
 Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
 ----------------  Zertifikat abrufen  ----------------
 Keine URLs "Keine" Zeit: 0
 ----------------  Zertifikat abrufen  ----------------
 Überprüft "Basissperrliste (32)" Zeit: 0
   [0.0] ldap:///CN=[servername Stamm CA],CN=[servername Stamm CA],CN=CDP,CN=Public%20Key%2
0Services,CN=Services,CN=Configuration,DC=[Domain],DC=local?certificateRevocationLi
st?base?objectClass=cRLDistributionPoint

 Überprüft "Deltasperrliste (32)" Zeit: 0
   [0.0.0] ldap:///CN=[servername Stamm CA],CN=[servername Stamm CA],CN=CDP,CN=Public%20Key
%20Services,CN=Services,CN=Configuration,DC=[Domain],DC=local?deltaRevocationList?b
ase?objectClass=cRLDistributionPoint

 Gescheitert "CDP" Zeit: 0
   Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HT
TP: 503)
   [0.1.0] http://[servername Stamm CA]/CertEnroll/KZVBW%20Stamm%20CA+.crl

 Gescheitert "CDP" Zeit: 0
   Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HT
TP: 503)
   http://[servername Stamm CA]/CertEnroll/KZVBW%20Stamm%20CA.crl

 --------------------------------

Exclude leaf cert:
 2e 0e 29 a0 53 4d ac 49 ec 8c 8c 04 17 df 0c 42 b7 c8 61 27
Full chain:
 ba 38 0c ab c1 8b f0 53 d5 c1 34 63 76 aa bc 5a b0 1f 63 31
------------------------------------
Verfizierte Ausstellungsrichtlinien: Kein
Verfizierte Anwendungsrichtlinien:
   1.3.6.1.5.5.7.3.2 Clientauthentifizierung
   1.3.6.1.5.5.7.3.1 Serverauthentifizierung
Sperrstatussüberprüfung des untergeordneten Zertifikats erfolgreich abgeschlosse
n.
CertUtil: -verify-Befehl wurde erfolgreich ausgeführt.

[ablaze 10]

Ich habe an den Veröffentlichungs Intervallen nichts verändert.

 

Die Stamm CA läuft auf einem Win Server 2003 Std.

 

Die Untergeordnete CA läuft auf dem DC und ist ebenfalls ein Win Server 2003 Std.

[olc 18]

Hi,

 

ich habe die Standard Intervalle für die Veröffentlichungsintervalle nicht im Kopf ;) - also schau doch auf der Stamm-CA einmal nach, wie sie eingestellt sind (Rechtsklick auf die CA, dann in den Eigenschaften nachschauen).

 

In jedem Fall sind die HTTP-Verteilungspunkte nicht erreichbar, das solltest Du prüfen. Da aber die Verteilungspunkte bzw. Zertifikate über LDAP erreichbar sind, liegt hier meines Erachtens nicht das Hauptproblem (es kann aber mal eins werden, also schau trotzdem mal drüber).

 

Da jedoch die Stamm-CA abgeschaltet wird, können die CRLs / Delta CRLs nicht ausgegeben und im AD veröffentlicht werden. Da liegt wahrscheinlich das Problem. Die Clients haben zumindest standardmäßig so etwas wie eine "grace period" nach dem Ablauf einer CRL / Delta CRL, jedoch können Sie nach Ablauf dieser Zeitspanne nicht mehr validieren. Dann kommt es höchstwahrscheinlich in Deiner Umgebung zu dem Fehler.

 

Ich würde nicht die Zeitspanne anpassen, sondern die Stamm-CA online nehmen und ggf. die Veröffentlichungsintervalle der CRL und Delta CRL anpassen. Dann hast Du mehr Zeit, bis Du die CA hochfahren mußt.

 

Grundsätzlich ging es mir nicht um die Betriebssyteme (Standard oder Enterprise Version), sondern um die Installationsart ;), siehe Types of certification authorities: Public Key .

 

Viele Grüße

olc