Jump to content

Windows CA: Zertifikat trotz Sperrung gültig

gnoovy

Von gnoovy
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

olc Veteran

olc   18

Geschrieben
Geschrieben

Hi,

 

der RAS Server ist nicht der Client. ;) Genau dort mußt Du den Cache löschen.

 

BTW: Die Autoenrollment GPO wird nicht den Effekt haben, daß das RAS Server Zertifikat vom Client entfernt wird. Meines Wissens werden nur die eigenen Zertifikate, also etwa Client Zertifikate durch die Einstellung nach einer Revocation entfernt. Aber da mag ich mich irren, hab ich mir schon länger nicht angeschaut.

 

Viele Grüße

olc

Link zu diesem Kommentar
gnoovy Rising Star

gnoovy   10

Geschrieben
  • Autor
Geschrieben

Hi olc,

 

irgendwie werde ich immer verwirrter :-) Du meinst ich muss den Cache auf der Außenstelle löschen? Diese kommt aber gar nicht an meine CA, da die CA nur in der Domäne erreichbar ist.

OK, sagen wir mal das Zertifikat bleibt im Speicher des RAS-Servers bestehen. Stimmt es, dass im Zertifikat selber dann auch weiterhin "Dieses Zertifikat ist gültig" steht oder müsste da dann etwas anderes stehen? Das ist letztendlich das was mich etwas verunsichert. Denn die VPN-Verbindung ist ja bereits nicht mehr möglich...

Link zu diesem Kommentar
gnoovy Rising Star

gnoovy   10

Geschrieben
  • Autor
Geschrieben

hehe... okay also ich bin so vorgegangen:

 

Meine CA soll nach außen hin nicht sichtbar sein. Das ipsec-Zertifikat habe ich mit dem Recht Clientauthentifizierung ausgestattet und als Vorlage definiert. Auf meinem Ras-Server habe ich über die MMC Zertifikate im Bereich Computer "Neues Zertifikat anfordern" gewählt und dort mein ipsec-Zertifikat mit privatem Schlüssel ausgewählt.

Das ipsec-Zertifikat habe ich mit privatem Schlüssel exportiert und zusätzlich noch das Zertifikat meiner stammzertifizierungsstelle also meiner CA aus"vertrauenswürdige stammzertifizierungsstellen". Diese Zertifikate habe ich an meinem Client, also der Außenstelle importiert. VPN-Verbindung somit erfolgreich.

Jetzt wollte ich mal ein Szenario testen, dass der Client sich nicht mehr verbinden darf. Somit habe ich das ipsec-Zertifikat in meiner CA im Bereich ausgestellte Zertifikate gesperrt. Somit ist es nun unter gesperrte Zertifikate ersichtlich.

Eine VPN-Verbindung ist jetzt auch nicht mehr möglich.

 

Was mich jetzt halt noch wundert ist, dass das Zertifikat auf dem RAS-Server im Bereich "Eigenschaften-Zertifizierungspfad" als gültig angezeigt wird. Hier stellt sich mir die Frage ob das so korrekt ist oder ob hier nun auch irgendwas mit ungültig stehen müsste, da das Zertifikat ja gesperrt ist.

 

Da nur mein RAS-Server die CA erreichen kann und somit auch mein Online-Responder, kann ja auch nur mein RAS-Server die Sperrung erkennen.

 

Falls eine VPN-Verbinung mit anderen Außenstellen weiterhin möglich sein soll, würde ich entsprechend ein neues ipsec-Zertifikat ausstellen.

 

Klar wäre es einfacher die CA nach außen hin sichtbar zu machen, damit die Clients sich direkt Zertifikate beziehen können, aber ist halt wieder eine Lücke...

Link zu diesem Kommentar
olc Veteran

olc   18

Geschrieben
Geschrieben

Hi,

 

ich bin mir nicht sicher, was Du mit "Eigenschaften-Zertifizierungspfad" meinst. Solltest Du das "geöffnete" Zertifikat meinen und die Zertifikatkette in dieser Ansicht, dann wird die Sperrung dort nicht angezeigt.

 

Versuch es einmal mit einem "certutil -verify -urlfetch Zertifikat.cer" - dort sollte angezeigt werden, daß das Zertifikat zurückgezogen wurde.

 

P.S.: Mir ist nicht ganz klar, warum Du den privaten Schlüssel des RAS Servers auf dem Client importiert hast - aber es klingt für mich nicht korrekt. ;)

 

Viele Grüße

olc

Link zu diesem Kommentar
gnoovy Rising Star

gnoovy   10

Geschrieben
  • Autor
Geschrieben

hi olc,

 

genauin dieser Ansicht meine ich :-) Sicherheitshalber nochmal ein Screenshot der Stelle und dass das Zertifikat gesperrt ist. Also ist es normal, dass dort weiterhin gültig drinsteht? Mittels deinem Befehl bekomme ich angezeigt, dass mein Zertifikat gesperrt wurde.

 

He... naja wenn der private Schlüssel nicht mitexportiert wird, klappt die VPN-Verbindung nicht. Ich habe auch bei meinen Google-Recherchen gelesen, dass das wohl ein Weg ist in irgendeinem forum :-) weshalb man auch die Enterprise CA braucht.

Wie würdest du es machen?

post-43820-13567390086504_thumb.jpg

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...