headbanger82 10 Geschrieben 4. April 2011 Melden Teilen Geschrieben 4. April 2011 Hey Leute, ich stehe hier etwas auf dem Schlauch und könnte eure Hilfe gebrauchen. In meiner Testumgebung stehen 2 Win2k8r2 Enterpise Server Das ganze ist für einen Test bezüglich SSTP-VPN +EAP-TLS Server 1(internes Netz) Domain Controller Zertifikatsdienste + Onlineresponder Server 2 (intern, extern) VPN-Server rras Client (externes Netz) ------ Eigentlich läuft auch alles bei mir ... der Client prüft mittels OCSP ob das Webserverzertifikat okay ist und stellt anschließend die VPN-Verbindung her Ich habe dann mal Testweise das Nutzerzertifikat, welches mein Client für EAP-TLS benutzt gesperrt. Und eine neue delta Sperrliste veröffentlicht. Jetzt ist es aber so das der Client sich immer noch mit dem gesperrten Zertifikat Einwählen kann?! Und genau an dieser Stelle komme ich nicht weiter bzw. verstehe nicht wieso die Einwahl noch möglich ist. Müsste es nicht so sein das OCSP direkt die Sperrliste abfragt um zu überprüfen ob das Zertifikat noch gültig ist? Wenn ich das Zertifikat mittels certutil -verify -urlfetch cert.cer überprüfe erhalte ich auf keine Meldung das das Zertifikat gesperrt ist. Ich habe schon gelesen das das am cache liegen könnte. Diesen habe ich dann am Client gelöscht doch leider brachte das auch kein anderes Ergebnis. Importiere ich nun auf den 2 Servern sowie dem Client die crl kann sich der User immernoch mit dem gesperrtem Zertifikat authentifizieren! Wie müsste das ganze denn aufgebaut sein das ein gesperrtes Zertifikat nicht mehr für die Authentifizierung verwendet werden darf? Ich hoffe ihr könnt mir weiterhelfen Vielen Dank schonmal Chris Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 5. April 2011 Melden Teilen Geschrieben 5. April 2011 Der Online Responder holt sich die Sperrinformationen aus den veröffentlichten Sperrlisten. In der Standardkonfiguration sind nur die per LDAP und HTTP veröffentlichten Basissperrlisten als Anbieter definiert. Der Online Responder speichert die Sperrlisten für 60 Minuten zwischen, erst danach sucht er wieder nach aktualisierten Sperrlisten. Du kannst das Intervall bis auf 5 Minuten reduzieren. (Oder 15 Min, bin mir da nicht ganz sicher) Zusätzlich kannst Du die Delta-Sperrlisten als weiteren Anbieter in die Konfiguration aufnehmen. Grundsätzlich ist es jedoch so, dass eine rein zertifikatsbasierte Authetifizierung sich nicht in Echtzeit sperren lässt. Server und Clients suchen idR erst nach Ablauf der zwischengespeicherten Sperrlisten nach neuen. Dabei können schonmal Stunden oder Tage vergehen bis nach neuen Sperrlisten gesucht wird. Sind Echtzeitsperrungen (zB bei VPN Zugängen) notwendig, würde ich als zusätzliches Kriterium noch eine AD-Gruppenmitgliedschaft hinzufügen. Zitieren Link zu diesem Kommentar
headbanger82 10 Geschrieben 18. Juni 2011 Autor Melden Teilen Geschrieben 18. Juni 2011 Hey Dunkelmann erstmal vielen vielen Dank für die Info! Leider hat wohl die E-Mail Benachrichtigung nicht funktioniert so das ich dachte das es keine Antworten auf meine Frage gab ...:suspect: ..... So ich habe das Aktuallisierungsintervall für Sperrlisten auf 5 Minuten geändert. Leider wird das Zertifikat immernoch als gültig angesehen. Muss am Client auch noch etwas geändert werden ? Danke für die Info Christoph Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 18. Juni 2011 Melden Teilen Geschrieben 18. Juni 2011 Hi, wird denn wirklich die OCSP URL für die Prüfung verwendet? Wie hast Du das gegengeprüft? Der OCSP Client speichert wie von Dunkelmann erwähnt die Abfrageinformationen zwischen, sofern er in der Vergangenheit eine Antwort zu einem bestimmten Zertifikat / einer Seriennummer erhalten hat (egal ob positiv oder negativ). Du kannst diese Cache-Zeit jedoch anpassen, siehe dazu auch: By default, response caching is performed by the OCSP client. This behavior can be changed by modifying the ChainCacheResynchFiletime value located in the HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config registry key. The ChainCacheResynchFiletime value specifies the date and time to clear the in-memory cache. The following Certutil commands can be used to modify the ChainCacheResynchFiletime value: [...] Außerdem solltest Du die von Dunkelmann angesprochenen CRL Veröffentlichungen nicht vergessen: Nur, wenn die "normale" CRL, auf die der OCSP Server zugreift, die Sperrinformationen enthält, wird er auch die korrekte Information an den Client herausgeben können. Viele Grüße olc Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 18. Juni 2011 Melden Teilen Geschrieben 18. Juni 2011 Oft ist bei der OCSP-konfig etwas schief gelaufen. Checke dochmal im MMC-Snapin den Status. Zusätzlich gibt dir pkiview.msc Infos. Als letzter Punkt bitte noch folgenden Anweisungen folgen. Verify an Online Responder Installation Cheers, Daniel Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.