Jump to content

Zertifikat Sperrlisten können nicht abgerufen werden

shoty

Von shoty
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

shoty Fellow

shoty   10

Geschrieben
  • Autor
Geschrieben
Zitat

Einfach Zertifikat ohne CRL erstellen

Guter Plan, ich kann auch gleich den RAS Server ausschalten, dann hab ich auch nicht mehr das Problem :aetsch2:

 

Zitat

Am besten mit Wireshark tracen warum der RAS Server keine Verbindung zum abruf der Sperrlisten aufbauen kann.

Hab ich auch schon gemacht, das merkwürdige dabei, ich sehe keine Anfragen, das der RAS Server überhaupt versucht die CRLs Richtung CA Server abzufragen!? 

Zitat

Du hast geschrieben, dass die CRL von intern und extern erreichbar ist. Daher habe ich vermutet, dass die CRL irgendwo extern steht. Oder hat die CRL-URL intern eine andere IP-Adresse als extern?

Die CRL ist von extern über einen Reverse Proxy erreichbar, der es dann nach intern zur CA weiterleitet. Die IP, bzw. der Name ist intern sowie extern gleich.

Link zu diesem Kommentar
zahni Grand Master

zahni   554

Geschrieben
Geschrieben
vor 58 Minuten schrieb shoty:

Die CRL ist von extern über einen Reverse Proxy erreichbar, der es dann nach intern zur CA weiterleitet. Die IP, bzw. der Name ist intern sowie extern gleich.

Du hast den DNS-Namen also intern mit einer anderen IP-Adresse registriert? Bei einem Reverse-Proxy ist die interne IP natürlich nicht mit der externen IP-Adresse identisch.

Im Übrigen empfehle ich bei VPN  auf eine 2-Faktor Authentifizierung zu setzen. Dann ist der Windows-RAS-Dienst, meine ich, eh raus.

Eine gute Möglichkeit sind RSA SecurID Token und ein VPN-Server/Client der dies unterstützt. Lösungen gibt es z.B. von https://www.ncp-e.com/de/

Link zu diesem Kommentar
shoty Fellow

shoty   10

Geschrieben
  • Autor
Geschrieben

Ich hab den Fehler gefunden.

Wenn man bei dem Thumprint auch den richtigen Fingerabdruck der Stammzertifizierung einträgt, funktioniert die Sache auch sauber!!

 

$Thumbprint = ‘Root CA Certificate Thumbprint
$RootCACert = (Get-ChildItem -Path cert:\LocalMachine\root | Where-Object {$_.Thumbprint -eq $Thumbprint})
Set-VpnAuthProtocol -RootCertificateNameToAccept $RootCACert -PassThru

New-ItemProperty -Path ‘HKLM:\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ikev2\’ -Name CertAuthFlags -PropertyTYpe DWORD -Value ‘4’ -Force

Restart-Service RemoteAccess -PassThru

 

Danke für eure Hilfe...

Link zu diesem Kommentar
xrated2 Experienced

xrated2   15

Geschrieben
Geschrieben (bearbeitet)

Der Geräte Tunnel läuft afaik nur mit Entprise oder Education und das macht ja letztendlich Always On oder Direct Access aus. Das läuft über Ikev2

Fremd VPN steht was von VPN Server wie Cisco. Beim Client hat man mit SSTP nicht viel Auswahl.

 

Wenn man ein Userzertifikat erstellt wo weißt man das denn dem User zu? Im RAS Manager steht bei mir nur das https Zertifikat vom VPN Server selbst.

Und es geht nur entweder Userzertifikat oder Authentifizierung via Passwort über MsChapv2 oder?

bearbeitet von xrated2
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...