firestone 10 Geschrieben 3. März 2006 Melden Teilen Geschrieben 3. März 2006 Hallo, wir wollten adhoc ein VPN einrichten. Z.Z. laufen alle VPNs von außerhalb via IPsec/L2tp auf unseren ISA 2004. Das funzt alles wunderbar. Da wir die Zertifikate aber bisher immer von einer externen Zertifizierungsstelle bekommen haben und das immer mühseelig war, haben wir uns jetzt überlegt, dass wir selbst eine Zertifizierungsstelle anlegen. Nun habe wir in einer Virluellen Maschine (w2k Server unter VMware) eine Zertifizierungsstelle installiert OHNE das dieser Server in der Domäne ist. Wir haben also eine "Eigenständige Hauptzertifizierungsstelle" eingerichtet. Dann haben wir zwei IPsec Zertifikate ausgestellt und diese gleich auf dem gleichen Server installiert (damit wir sie von da aus gleich in ein PFX-File exportieren können). Auf diesem Server betrachtet, sehen die Zertifikate gut aus ohne Fehler. Nun haben wir die beiden Zertifikate exportiert, die VM (also den Server mit der Zertifizierungsstelle) ausgeschaltet und das eine Zertifikat auf dem ISA-Server und das andere auf dem Client-Notebook importiert. Dann eine VPN-Verbindung (L2TP) auf dem Client eingerichtet. Beim Verbinden kommt nun aber die Fehlermeldung das "auf dem Rechner kein gültiges Zertifikat existiert". Wenn ich mir nun (mittels mmc) die Zertifikate anschaue, dann steht beim Zertifikat auf dem ISA mit rotem Kreuz: "Die Integrität dieses Zertifikats kann nicht garantiert werden. Das Zertifikat ist eventuell beschädigt oder wurde geändert" und auf dem Clientzertifikat mit gelbem Ausrufezeichen: "Windows hat keine ausreichenden Informationen, um dieses Zertifikat verifizieren zu können." Meine Frage ist demnach, was haben wir falsch gemacht? Muss die Zertifizierungsstelle immer angeschalltet und immer für den Client und den ISA erreichbar sein. Ich hatte mir das so schön vorgestellt, dass ich immer nur die VM (Zertifizierungsstelle) anschalte, wenn ich wieder einmal ein neues oder zusätzliches Zertifikat benötige. Geht das doch noch irgendwie zu realisieren? Vielen Dank. mfg Hans Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 3. März 2006 Melden Teilen Geschrieben 3. März 2006 Hallo und willkommen im Board :) Nein, die Ca muss niht immer online sein, aber das Zertifikat dieser CA muss auf den beteiligten Rechnern im Speicher der Vertrauenswürdigen Stammzertifizierungsstellen liegen. Am besten sollte die Zertifikatssperrliste (CRL) auch erreichbar sein, muss in dem Fall aber nicht. Und das eine zertifikat, dessen integrität angezweifelt wird, vielleicht hat das beim Exportieren einen "Schuss" bekommen, das müsstest du neu machen. Ich habe ein HowTo veröffentlicht, L2TP/IPSec mit Zertifikaten, da steht Step-by-Step beschrieben drin, wie man das mit einer Stand-Alone CA macht. Muss das mit dem Link erst abklären, wegen FrimenwebSite, schau mal in meinem Profil dort nach der Homepage. befindet sich noch im Aufbau und es müssen noch ein paar Sachen verbessert werden, aber die HowTo Sektion arbeitet schon. grizzly999 Zitieren Link zu diesem Kommentar
firestone 10 Geschrieben 3. März 2006 Autor Melden Teilen Geschrieben 3. März 2006 Super, dein How to ist echt klasse. Warum findet man das nicht wenn man unter Google nach eigene Zertifizierungsstelle sucht? Antwort: Weil die besten Seiten immer nicht zu finden sind... Das ist genau das was ich gesucht habe, da hätte ich mir 2 Tage rumprobieren sparen können. Vielen Dank. mfg Hans Zitieren Link zu diesem Kommentar
firestone 10 Geschrieben 7. März 2006 Autor Melden Teilen Geschrieben 7. März 2006 Hallo ich nochmal, nun habe ich alles soweit hin bekommen und jetzt scheitert es wohl an einer ganz banalen Sache. Ich habe alles nach HowTo gemacht und nun funzt die ganze Zertifizierungsstelle und die Zertifikate funktionieren mit VPN hervorragend. Was mache ich aber nun wenn ich einem Client nicht mehr vertraue? Die Zertifizierungsstelle ist, wie schon gesagt, komplett Offline. Es besteht also kein Netzwerkkontakt zu der Zertifizierungsstelle. Die Sperrliste kann man ja Downloaden, nur wie bekomme ich die auf den ISA-Server. Einfach importieren habe ich schon probiert, das ging nicht. Danach konnte ich mit dem Client, dessen Zertifikat ich vor dem Download der Sperrliste gesperrt hatte, immer noch via VPN auf den ISA zugreifen. Hat jemand eine Idee? Vielen Dank. Hans Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. März 2006 Melden Teilen Geschrieben 7. März 2006 Die Sperrliste wird vom ISA normalerweise selber heruntergeladen. Dazu prüft er im Zertifkat des Clients den Eintrag unter "Sperrlisten-Verteilpunkte". Allerdings: Die Prüfung ist nicht sehr streng, nach dem Motto Funktion vor Sicherheit. Kann er keine Sperrliste abrufen, gilt das Zertifikat als nicht gesperrt. Man kann dieses Verhalten über die Registry oder netsh ändern. Suche in folgendem Dokument nach der Überschrift IKE certificate acceptance process : http://technet2.microsoft.com/WindowsServer/en/Library/8fbd7659-ca23-4320-a350-6890049086bc1033.mspx Dort findest du den Hinweis auf den Key StrongCRLCheck Man beachte: hat der Rechner die CRL im Cache, ruft er eine neue erst NACH ABLAUF der im Cache vorhandenen erneut ab, egal wieviele Zertifikate zwischenzeitlich gesperrt wurden und wieviele CRLs ich zwischenzeitlich nue veröffentlicht habe ! grizzly999 Zitieren Link zu diesem Kommentar
firestone 10 Geschrieben 7. März 2006 Autor Melden Teilen Geschrieben 7. März 2006 hmmm, versteh ich nicht. Wie ich schon schrieb ist der Rechner der Zertifizierungsstelle nicht am Netz. Wie soll der ISA also die Sperrliste selbst laden? Hab da irgendwie ein Verständnisproblem... mfg Hans Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. März 2006 Melden Teilen Geschrieben 7. März 2006 Die Aussage war allgemeiner Natur. Wenn natürlich der Pfad, der in ddem zertifikat angegeben ist, nicht verfügbar ist, kann er die Sperrliste nicht abrufen. Dann muss man entweder diesen punkt verfügbar machen, oder vor Ausstellen des Zertifikats in denEigenschaften der CA diesen Pfad auf einen Erreichbaren abändern und die CRL dann dorthin kopieren. grizzly999 Zitieren Link zu diesem Kommentar
firestone 10 Geschrieben 7. März 2006 Autor Melden Teilen Geschrieben 7. März 2006 ahhh, das hört sich doch gut an. Verstehe ich das richtig, ich kann mit meiner Offline Zertifizierungsstelle Zertifikate ausstellen in dem der Pfad zur Sperrliste irgend ein Pfad ist den der ISA erreicht? Also bspw. irgend ein Ordner in unserem Netz in dem sich auch der ISA befindet oder sogar auf dem ISA selbst? Wenn ja, wie stelle ich das genau an, den Pfad dorthin angeben? Wie gesagt meine Zertifizierungsstelle ist genau nach Deinem HowTo aufgesetzt. Wäre vieleicht auch noch was für das HowTo. Die Frage nach der Sperrung stellt sich ja früher oder später zwangsläufig. Vielen Dank. mfg Hans Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. März 2006 Melden Teilen Geschrieben 7. März 2006 Wie schon gesagt, das geht. Man öffne das verwaltungstool für die Zertifizeirungsstelle, wähle diese aus, rechte Maustaste -> Eigenschaften. Dann unter Reiter "Erweiterungen" bei Sperrliste-Verteilpunkt kann man Verteilpunkte hinzufügen oder auch entfernen. Möglich sind LDAP-Pfade (Active Directory), HTTP-URLs,FTP-URLs und File-Freigaben. Am ehesten würde ich eine HTTP-URL nehmen. Wie das dann aussehen muss, sieht man ja bei den schon drin stehenden Pfaden. Wichtig: man muss den Dateinamen der CRL mitangeben, also z.B. http:// www. meinedom. com/pki/meineca.crl Wenn die anderen Pfade nicht erreichbar sind, kann man sie entfernen, oder zumindest das Häkchen bei "In CDP-Erweiterung des ausgestellten Zertifikats einbeziehen" entfernen. Repsektive muss für den neu hinzugefügten Pfad dieses Häkchen gesetzt werden. Natürlich wird der angebene Pfad nur in alle danach ausgestellten Zertifikate eingetragen, nicht in schon bestehende Zertifikate. Und: man muss die CRL manuell dorthin kopieren, und zwar immer, wenn eine neue erstellt wird (dazu die CA wieder Online nehmen). Das Standardintervall, wenn nicht geändert, beträgt 1 Woche. grizzly999 Zitieren Link zu diesem Kommentar
firestone 10 Geschrieben 8. März 2006 Autor Melden Teilen Geschrieben 8. März 2006 @grizzly nochmal herzilchen Dank für die ausführliche Beschreibung. Ich hab (glaub ich) "nur" noch drei kleine Fragen. ;-) 1. Kann ich als Pfad auch "\\ISA\c$\irgendwas" angeben? (kann also das Zertifikat auf eine administrative Freigabe zugreifen oder wie sieht es da mit den Berechtigungen aus?) 2. Kann ich unter diesem Pfad die Sperrliste legen, die man mittels "http://Server/certsrv" von der Zertifizierungsstelle downloaden kann? (dann bräuchet ich doch entgegen Deiner Aussage die CA nie Online nehmen, denn ich könnte die Sperrliste auch via USB-Stick kopieren "nur zum Verständnis") 3. Wie kann ich den Intervall, nach dem das Zertifikat in die Sperrliste schaut, verändern? Vielen Dank. Beste Grüße. Hans Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 8. März 2006 Melden Teilen Geschrieben 8. März 2006 Kann ich als Pfad auch "\\ISA\c$\irgendwas" angeben? (kann also das Zertifikat auf eine administrative Freigabe zugreifen oder wie sieht es da mit den Berechtigungen aus?) Im Prinzip ja, aber habe ich noch nicht gemacht (HTTP ist mir lieber :) ) Der Pfad würde dann file:///........ lauten. Kann man in der CA wie oben beschrieben in den standard vorgegebenen Pfaden prüfen. Der Rechner müsste dann Leseberechtigung auf Freigabe, Ordner und Datei haben, am besten Jeder -> Lesen eintragen Kann ich unter diesem Pfad die Sperrliste legen, die man mittels "http://Server/certsrv" von der Zertifizierungsstelle downloaden kann? (dann bräuchet ich doch entgegen Deiner Aussage die CA nie Online nehmen, denn ich könnte die Sperrliste auch via USB-Stick kopieren "nur zum Verständnis") Exakt :) Genau diese Datei mit der Endung .crl ist es. Wie kann ich den Intervall, nach dem das Zertifikat in die Sperrliste schaut, verändern? In der CA rechte Maustaste auf den gelben "Ordner" Gesperrte Zertifikate/Eigenschaften. Dort ist das Intervall einstellbar. bei Erstellen der Sperrliste wird dann in die Sperrliste selber (diese kann man ja öffnen und nachschauen) der Termin der Nächsten Aktualisierung basierend auf der genannten Einstellung hineingeschrieben. An diesem Termin orientert sich der Rechner, der die CRL in seinen Cache legt. grizzly999 Zitieren Link zu diesem Kommentar
firestone 10 Geschrieben 8. März 2006 Autor Melden Teilen Geschrieben 8. März 2006 Herzlichen Dank für Deine Hilfe und Deine Geduld!!! ;-) Beste Grüße Hans Zitieren Link zu diesem Kommentar
firestone 10 Geschrieben 9. März 2006 Autor Melden Teilen Geschrieben 9. März 2006 @grizzly Wie das immer so ist habe ich doch noch eine Frage. Ich habe jetzt die Sperrliste nach Deiner o.g. Beschreibung angelegt und der Pfad ist auch richtig eingegeben. Ich habe das jetzt so gemacht das ich die Sperrliste (immer wenn sich was ändert) an der OfflineZertifizierungsstelle exportiere (downloade) und in einen Ordner direkt auf dem ISA (o.g. Pfad) lege. Ich habe nun die Aktualisierungszeit auf eine Stunde herab gesetzt. Nun frage ich mich, woher der ISA weiß das er alle Stunde in den Ordner schauen soll wo er die Sperrliste findet. Und mich würde noch interessieren wie man den "Abruf" der Sperrliste manuell anstossen kann? Eine Stunde kann bei Verlust eines Notebooks u.U. zu lange sein wenn der Client-User auch noch seine VPN-Zugangsdaten gespeichert hat. Vielen Dank. mfg Hans Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 9. März 2006 Melden Teilen Geschrieben 9. März 2006 @grizzlyWie das immer so ist habe ich doch noch eine Frage. Aber nur noch EINE :D :D :D (Scherzle g'macht) Ich habe nun die Aktualisierungszeit auf eine Stunde herab gesetzt.Nun frage ich mich, woher der ISA weiß das er alle Stunde in den Ordner schauen soll wo er die Sperrliste findet Wie oben schon gesagt, der Zeitpunkt der Veröffentlichung und auch der Zeitpunkt nächsten Veröffentlichung steht in der CRL drin. Öffne sie mal mit dem IE, oder durch Doppeklick und schaue rein. Nichts anderes macht die PKI-Applikation (hier der VPN-Server). Er merkt sich, wann die nächste Veröffentlichung ist, und schaut erst danach bei Bedarf wieder nach. Und mich würde noch interessieren wie man den "Abruf" der Sperrliste manuell anstossen kann? WICHTIG: So lange bleibt diese CRL im Cache!! Man kann den Cache nicht leeren, no way, und nicht neu zum Abrufen anschubsen, sorry :( Eine Stunde kann bei Verlust eines Notebooks u.U. zu lange sein wenn der Client-User auch noch seine VPN-Zugangsdaten gespeichert hat Naja, da würde ich mal die Kirche noch im Dorf lassen :) Soll man alle 10 Minuten eine Sperrliste veröffentlichen? Die meisten CAs von offiziellen Institutionen (VeriSign, TC Trust Center, etc.), deren Zertifikate nach EUSigG sogar Unterschriftscharakter auch bei verträgen und Geschäften haben, veröffentlichen in mind. 1-2 Wochen Intervallen. Außerdem, bei einem VPN-Aufbau mit L2TP/IPSec findet ja nicht nur eine Computerauthentifizierung statt, die dient ja nur für das IPSec. Der Benutzer muss sich auch noch authentifizieren. Und bis du in deinem Fall überhaupt die CA gestartet, eine Sperrliste erstellt und dann dorthin kopiert hast, habe ich per RAS-Richtlinie oder im AD nicht nur den einen User für den VPN-Zugriff gesperrt, sondern nebenher auch noch 30 Kontenleichen aus dem AD entfernt :D Der Rest ist Paranoia (ich meine jetzt nicht dich, sondern ganz allgemein ;) ) grizzly999 Zitieren Link zu diesem Kommentar
firestone 10 Geschrieben 10. März 2006 Autor Melden Teilen Geschrieben 10. März 2006 Da hast du volkommen Recht. Ich glaube eine Stunde ist in jedem Fall OK. Da mein Wissen über Zertifizierungsstellen noch zu gering ist, habe ich das mit dem Veröffentlichen immer noch nicht ganz gecheckt (arrrg) :( Wenn ich jetzt die erste Sperrliste in den Ordner auf dem ISA lege und das Stamm -und Computerzertifikat zum ersten mal auf dem ISA importiere, schaut dann der ISA auf Grund des Pfades in seinem Zertifikat gleich erst einmal auf den Ordner und holt sich die erste Sperrliste, merkt sich dann den Aktualisierungsintervall und holt dann immer die folgenden Listen nach dem selben Prinzip? Will sagen, ich versteh eigentlich nur nicht wie er es beim ersten mal macht. Da weiss er ja nicht welchen Intervall er hat, da er ja noch keine Sperrliste im Cache hat in der (in unserm Fall) eine Stunde steht. Oder nimmt er dann jetzt beim ersten mal den Standard von einer Woche? Das wäre schlecht jetzt zum testen eine Woche zu warten ob alles funzt... Vielen Dank. Beste Grüße Hans Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.