Zertifikat Sperrlisten

[sakoti 11]

Ich habe einen VPN Zugang via SSTP eingerichtet und komme beim Sperrlisten Verteilungspunkt nicht so wirklich weiter.

Laufen würde alles, wenn ich die Abfrage am Client via Reg-Eintrag unterbinde, aber das soll ja nicht und Zweck des Ganzen sein...

 

In der Zertifizierungsstelle kann ich ja diverse Sperrlistenpunkte definieren, einen davon habe ich auch entsprechend mit public IP und den passenden Variablen angelegt.

Leider bekomme ich beim Aufbau der SSTP Verbindung immer noch einen Fehler. Am Zertifikat selbst ist auch nicht der von mir definierte Punkt eingetragen.

 

Wie kann ich für ein Zertifikat einen bestimmten Punkt festlegen? Darf ich das Zertifikat erst ausstellen, wenn ich die Sperrlisten Punkte bereits definiert habe?

[NorbertFe 2.102]

In der Zertifizierungsstelle kann ich ja diverse Sperrlistenpunkte definieren, einen davon habe ich auch entsprechend mit public IP und den passenden Variablen angelegt.

OK.

Leider bekomme ich beim Aufbau der SSTP Verbindung immer noch einen Fehler. Am Zertifikat selbst ist auch nicht der von mir definierte Punkt eingetragen.

Naja, dann wundert dich doch aber das Verhalten nicht, oder?

 

Wie kann ich für ein Zertifikat einen bestimmten Punkt festlegen? Darf ich das Zertifikat erst ausstellen, wenn ich die Sperrlisten Punkte bereits definiert habe?

Ja klar, woher soll denn das bereits ausgestellte Zertifikat wissen, was du sonst in der CA konfigurierst.

 

Bye

Norbert

[testperson 1.729]

Hi,

 

hast du beim neuen Sperrlisten-Verteilungspunkt auch den Haken zum einbeziehen in die Sperrliste gesetzt und die Sperrliste ggfs. an diesen Ort kopiert?

 

http://styletronix.wordpress.com/2011/02/12/sperrlistenverteilung-ber-iis-konfigurieren/

 

Gruß

Jan

[sakoti 11]

Danke für den Link und die Tipps schon einmal.

Habe die Sperrlistenpunkte überarbeitet und die jeweiligen Haken gesetzt. Leider bekomme ich den Fehler beim Aufbau der Verbindung noch immer.

 

Unter dem Link von Jan stand etwas von der Bearbeitung der web.config? die habe ich nicht gefunden im IIS-Verzeichnis.

 

Am Zertifikat sind folgende Einträge hinterlegt:

 

 

[1]Sperrlisten-Verteilungspunkt
     Name des Verteilungspunktes:
          Vollst. Name:
               URL=ldap:///CN=XXXX-CA,CN=XX,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=XX,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint
               URL=http://FQDN/CertEnroll/XXXX.crl
               URL=http://publicIP/CertEnroll/XXXX.crl
               URL=http://vpn.XXXXX/CertEnroll/XXXX.crl
 

[Dunkelmann 96]

Moin,

 

wenn keine Einstellungen für die Seite definiert sind, gib es auch keine Web.config. Statt dessen wird die ApplicationHost.config mit den default Werten genutzt.

 

Hier geht's weiter:

http://support.microsoft.com/kb/942076

[sakoti 11]

In der entsprechenden Datei ist der Wert

 

 

<requestFiltering allowDoubleEscaping="True"/>

 

bereits so gesetzt...

Wieso kann ich bei der Definition der Sperrlistenpunkte kein https nutzen ??

Wenn ich manuell im Browser https anstelle von http nutze, kann ich auch die Sperrliste abrufen.

 

Aber wenn es sich nicht mit https definieren lässt...

Also konkret scheint das Problem zu sein.

 

Ich habe einen Sperrlistenpunkt definiert, der auch im Zertifkat enthalten ist.

 

Ich kann diesen Punkt aber im Browser nicht öffnen, wenn ich anstelle http https nutze, kann ich die Sperrliste öffnen.

 

1. Ich weiß nicht, wie ich https bei der Sperrliste voranstellen kann

 

ODER

 

2. Ich weiß nicht, wie ich die genannte http Adresse verfügbar mache

[NorbertFe 2.102]

Ich habe einen Sperrlistenpunkt definiert, der auch im Zertifkat enthalten ist.

 

Ich kann diesen Punkt aber im Browser nicht öffnen, wenn ich anstelle http https nutze, kann ich die Sperrliste öffnen.

Dann würde ich mal auf der Firewall nachschauen, warum das so ist. ;)

 

Bye

Norbert

[sakoti 11]

Da ist aber nix geblockt!?

Welche Ports sollten denn für die Sperrlisten weitergeleitet werden?

[NorbertFe 2.102]

http würde ich vorschlagen. ;) Kannst du denn intern per http an die Sperrliste?

 

Bye

Norbert

[sakoti 11]

Nein intern kann ich die Liste im Browser auch nicht aufmachen.

 

Weder via FQDN, noch über die interne IP.

 

An was kann das liegen?

Danke

[NorbertFe 2.102]

An der Firewall auf dem Host? Port 80 nicht gebunden? Was weiß ich, schau dir deinen Webserver doch mal an, wenn du da nicht per http rankommst. ;)

[sakoti 11]

habe Port 80 gebunden und bekomme jetzt den Fehler hier:

 

 

 

403 - Verboten: Zugriff verweigert. Die angegebenen Anmeldeinformationen berechtigen Sie nicht, dieses Verzeichnis oder diese Seite anzuzeigen.

[NorbertFe 2.102]

Na was könnte das wohl sein? Du kommst anonym an würde ich mal sagen, also wird wer Zugriffsrechte auf die .crl Datei benötigen?

 

Bye

Norbert

[sakoti 11]

testweise mit jeder in den berechtigungen hat es auch nicht geklappt?

[NorbertFe 2.102]

Hab ich was von "JEDER" gesagt?