Windows CA: Zertifikat trotz Sperrung gültig

[gnoovy 10]

Hi zusammen,

 

ich habe (erstmals in einer Testumgebung) eine einstufige Windows CA aufgesetzt und ein ipsec-Zertifikat für einen RAS-Server und für einen Windows7-client ausgestellt um damit VPN-Verbindungen zu realisieren. Für die Zertifikatssperrlisten habe ich auf der CA einen Online-Responder eingerichtet. Nun habe ich auf der CA das ausgestellte ipsec-Zertifikat gesperrt. Es wird auch unter gesperrte Zertifikate angezeigt. Mittels GPO-Richtlinien sollen gesperrte Zertifikate auch automatisch entfernt werden.

Allerdings bleibt das Zertifikat auf dem RAS-Server bestehen und wird weiterhin als gültig angezeigt.

Der Online-Responder ist im Zertifikat hinterlegt. Was könnte da das Problem sein?

Hoffe ich habe alles gepostet was wichtig ist. Wenn nicht einfach laut Schreien. :-)

[olc 18]

Hi,

 

wie oft wird die CRL bzw. Delta CRL auf der CA veröffentlicht?

 

Erst, wenn die CRL / Delta CRL regular veröffentlicht wurde, werden die Clients die Sperrung mitbekommen. Es hilft Dir im Moment (ohne OCSP) nichts, die CRL vorher zu veröffentlichen. Die Clients schauen erst nach einer CRL, wenn die alte abgelaufen ist.

 

Wenn es sich um Windows Vista+ Clients handelt, könntest Du den Ablauf der "Wartezeit" mittels Script o.ä. verkürzen: How to refresh the CRL cache on Windows Vista - Windows PKI blog - Site Home - TechNet Blogs

 

Viele Grüße

olc

[gnoovy 10]

hi olc,

 

eingesetzt werden als DC und CA Windows 2008 R2 Server und Clients Windows 7. Alle mit SP1.

Wo kann ich denn sehen in welchem Intervall die Sperrlisten veröffentlicht werden? Habe auf der CA lediglich den Online-Responder installiert. Ich hatte das so verstanden, dass die Server / Clients ja automatisch beim Online Responder nachfragen.

[dmetzger 10]

Wo kann ich denn sehen in welchem Intervall die Sperrlisten veröffentlicht werden?

 

In den Eigenschaften der Zertifizierungsstelle: certsrv.msc -> "Gesperrte Zertifikate" -> "Parameter für Sperrlistenveröffentlichung".

[gnoovy 10]

ahhh ich de** :-) klaro dort steht ja eine Woche drin. Also bedeutet dass, dass mein Ras-Server erst nach dieser Woche gesagt bekommt, dass sein Zertifikat nicht mehr gültig ist oder?

[gnoovy 10]

also habe das Intervall auf eine Stunde eingestellt. Das Scheint auch zu funktionieren wenn ich mir die Sperrliste anschaue. allerdings ist das Zertifikat trotzdem noch als gültig im Ras-Server hinterlegt.

Allerdings ist jetzt keine Verbindung mehr mit Routing und Ras möglich. Also hat die Sperrung nun geklappt? Aber weshalb werden die Zeritifikate noch als gültig angezeigt? Wenn Ihr Screenshots oder weitere Infos braucht jeder Zeit.

[blub 115]

In der Sperrliste steht doch die Gültigkeitsdauer drinnen, vor Ablauf holt sich der Client keine neue.

 

blub

[gnoovy 10]

gut in der Sperrliste steht jetzt auch immer ca. ne Stunde drin. Eine Ras-Verbindung ist jetzt auch nicht mehr möglich. Mich wundert es halt, dass in meinem Ras-Server das ipsec-Zertifikat trotzdem noch als gütlig steht, obwohl es ja auf der CA im Bereich der ausgestellten Zertifikate gesperrt wurde und sich ja jetzt auch unter den gesperrten Zertifikaten befindet.

[blub 115]

solange der RAS Server noch eine Liste hat, die eine Woche gültig ist, sieht der keine Veranlassung sich eine neue Liste abzuholen.

[gnoovy 10]

ah okay und wie kann ich das auf dem RAS beschleunigen? und weshalb ist dann jetzt auf einmal keine RAS-Verbindung mehr möglich? Dann muss er ja theoretisch schon was gezogen haben oder?

[blub 115]

certutil -urlcache * delete

 

How Certificate Revocation Works

 

In den Speicherorten unter "Table1" ziemlich am Ende des Artikels, kannst du nachsehen, ob eine Crl-Datei angezogen wird. Die Datei kannst du nach *.crl umbenennen und dann anschauen.

 

blub

[olc 18]

...wobei ich mich frage, ob mein Beitrag überhaupt gelesen wurde. Das stand nämlich alles schon drin. ;)

 

P.S.: Wenn OCSP korrekt installiert / konfiguriert ist, hätte die Sperrung nach Veröffentlichung der CRL auch schneller funktionieren können / sollen. Vermutlich hat es das, weshalb RAS dann auch nicht mehr "funktionierte".

 

Beschäftigst Du Dich mit RAS oder den PKI Grundlagen? Falls RAS, hat es ggf. Sinn, sich gleichzeitig mit PKI zu beschäftigen. :)

 

Viele Grüße

olc

[gnoovy 10]

hi zusammen,

 

@blub

leider funktioniert der Link nicht. Ich habe mal den Cache auf der CA und dem RAS-Server geleert und die Server neu gestartet.

 

@olc

he... doch lese auf jeden Fall alle Posts sehr genau. Aber stehe manchmal auf dem Schlauch :-)

 

Was mich halt wundert ist, dass offensichtlich durch Änderung der Sperrdauer auf 1 Stunde nun wohl die Sperrung via OCSP gezogen wird. Sonst könnte ich mich ja weiterhin über RAS anmelden.

Per GPO habe ich im Computerbereich konfiguriert, dass gesperrte Zertifikate automatisch entfernt werden sollen. Gehe ich im RAS-Server in die Computerzertifikate steht dort weiterhin das ipsec-Zertifikate und dieses wird als gültig angezeigt.

Hier müsste sich doch eigentlich auch was ändern oder?

 

He... beschäftige mich mit beiden Terminen :-)

[olc 18]

Hi,

 

Du mußt den Cache auf dem *Client* löschen, dann sollte es klappen. :)

 

Viele Grüße

olc

[gnoovy 10]

hi olc,

 

nochmals vielen Dank für deine Mühe. Ich hoffe ich bringe dich net zur Verzweiflung. Genau den Cache habe ich auf dem Ras-Server gelöscht. Die Außenstelle ignoriere ich erstmals, da diese ja meine ocsp-Url und somit meine CA an für sich net erreichen kann. Ich hatte somit das ipsec-Zertifikat damals vom RAS-Server exportiert und in den Client importiert.

Wenn ich nach dem Löschen des Chaches auf dem RAS-Server "certutil - urlcache crl aufrufe erhalte ich folgende Ausgabe:

 

C:\Users\administrator.WINNET>certutil -urlcache crl
http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/au
throotstl.cab

ldap:///CN=winnet-ZERTSRV-CA,CN=ZertSrv,CN=CDP,CN=Public%20Key%20Services,CN=Ser
vices,CN=Configuration,DC=winnet,DC=local?certificateRevocationList?base?objectC
lass=cRLDistributionPoint

WinHttp-Cacheeinträge: 2

CertUtil: -URLCache-Befehl ist fehlgeschlagen: 0x80070103 (WIN32/HTTP: 259)
CertUtil: Es sind keine Daten mehr verfügbar.

C:\Users\administrator.WINNET>

 

winnet.local ist meine Domäne und zertsrv ist der Hostname der CA. Wenn ich mittels "certutil -setreg chain\ChainCacheResyncFiletime @now" den Chache aktualisiere erhalte ich folgende Ausgabe:

 

C:\Users\administrator.WINNET>certutil -setreg chain\ChainCacheResyncFiletime @n
ow
Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChain
Engine\Config\ChainCacheResyncFiletime:

Alter Wert:
 ChainCacheResyncFiletime REG_BINARY = 30.01.2012 21:49

Neuer Wert:
 ChainCacheResyncFiletime REG_BINARY = 30.01.2012 22:50
CertUtil: -setreg-Befehl wurde erfolgreich ausgeführt.
Der Dienst "CertSvc" muss neu gestartet werden, damit die Änderungen wirksam wer
den.

C:\Users\administrator.WINNET>

 

Nach Neustart des RAS-Servers und erneuter Prüfung der Computerzertifikate ist mein ipseczertifikat trotzdem noch da und als gültig drin. Eine erneute Anzeige des Caches bringt wieder erste Meldung.

Irgendwie passt da noch was net oder ich bin einfach übermüdet ;)