Jump to content

ISA und eigenständige Zertifizierungsstelle


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

wir wollten adhoc ein VPN einrichten. Z.Z. laufen alle VPNs von außerhalb

via IPsec/L2tp auf unseren ISA 2004.

Das funzt alles wunderbar. Da wir die Zertifikate aber bisher immer von

einer externen Zertifizierungsstelle bekommen haben und das immer mühseelig

war, haben wir uns jetzt überlegt, dass wir selbst eine

Zertifizierungsstelle anlegen.

Nun habe wir in einer Virluellen Maschine (w2k Server unter VMware) eine

Zertifizierungsstelle installiert OHNE das dieser Server in der Domäne ist.

Wir haben also eine "Eigenständige Hauptzertifizierungsstelle" eingerichtet.

Dann haben wir zwei IPsec Zertifikate ausgestellt und diese gleich auf dem

gleichen Server installiert (damit wir sie von da aus gleich in ein PFX-File

exportieren können).

Auf diesem Server betrachtet, sehen die Zertifikate gut aus ohne Fehler.

 

Nun haben wir die beiden Zertifikate exportiert, die VM (also den Server mit

der Zertifizierungsstelle) ausgeschaltet und das eine Zertifikat auf dem

ISA-Server und das andere auf dem Client-Notebook importiert.

Dann eine VPN-Verbindung (L2TP) auf dem Client eingerichtet.

Beim Verbinden kommt nun aber die Fehlermeldung das "auf dem Rechner kein

gültiges Zertifikat existiert".

Wenn ich mir nun (mittels mmc) die Zertifikate anschaue, dann steht beim

Zertifikat auf dem ISA mit rotem Kreuz:

"Die Integrität dieses Zertifikats kann nicht garantiert werden. Das

Zertifikat ist eventuell beschädigt oder wurde geändert"

 

und auf dem Clientzertifikat mit gelbem Ausrufezeichen:

"Windows hat keine ausreichenden Informationen, um dieses Zertifikat

verifizieren zu können."

 

Meine Frage ist demnach, was haben wir falsch gemacht? Muss die

Zertifizierungsstelle immer angeschalltet und immer für den Client und den

ISA erreichbar sein.

Ich hatte mir das so schön vorgestellt, dass ich immer nur die VM

(Zertifizierungsstelle) anschalte, wenn ich wieder einmal ein neues oder

zusätzliches Zertifikat benötige. Geht das doch noch irgendwie zu

realisieren?

 

Vielen Dank.

 

mfg Hans

Link zu diesem Kommentar

Hallo und willkommen im Board :)

 

Nein, die Ca muss niht immer online sein, aber das Zertifikat dieser CA muss auf den beteiligten Rechnern im Speicher der Vertrauenswürdigen Stammzertifizierungsstellen liegen.

Am besten sollte die Zertifikatssperrliste (CRL) auch erreichbar sein, muss in dem Fall aber nicht.

 

Und das eine zertifikat, dessen integrität angezweifelt wird, vielleicht hat das beim Exportieren einen "Schuss" bekommen, das müsstest du neu machen.

 

Ich habe ein HowTo veröffentlicht, L2TP/IPSec mit Zertifikaten, da steht Step-by-Step beschrieben drin, wie man das mit einer Stand-Alone CA macht.

Muss das mit dem Link erst abklären, wegen FrimenwebSite, schau mal in meinem Profil dort nach der Homepage. befindet sich noch im Aufbau und es müssen noch ein paar Sachen verbessert werden, aber die HowTo Sektion arbeitet schon.

 

grizzly999

Link zu diesem Kommentar

Hallo ich nochmal,

 

nun habe ich alles soweit hin bekommen und jetzt scheitert es wohl an einer ganz banalen Sache.

Ich habe alles nach HowTo gemacht und nun funzt die ganze Zertifizierungsstelle und die Zertifikate funktionieren mit VPN hervorragend.

 

Was mache ich aber nun wenn ich einem Client nicht mehr vertraue?

Die Zertifizierungsstelle ist, wie schon gesagt, komplett Offline. Es besteht also kein Netzwerkkontakt zu der Zertifizierungsstelle.

Die Sperrliste kann man ja Downloaden, nur wie bekomme ich die auf den ISA-Server.

Einfach importieren habe ich schon probiert, das ging nicht. Danach konnte ich mit dem Client, dessen Zertifikat ich vor dem Download der Sperrliste gesperrt hatte, immer noch via VPN auf den ISA zugreifen.

 

Hat jemand eine Idee?

 

Vielen Dank.

 

Hans

Link zu diesem Kommentar

Die Sperrliste wird vom ISA normalerweise selber heruntergeladen. Dazu prüft er im Zertifkat des Clients den Eintrag unter "Sperrlisten-Verteilpunkte".

 

Allerdings: Die Prüfung ist nicht sehr streng, nach dem Motto Funktion vor Sicherheit. Kann er keine Sperrliste abrufen, gilt das Zertifikat als nicht gesperrt.

 

Man kann dieses Verhalten über die Registry oder netsh ändern. Suche in folgendem Dokument nach der Überschrift IKE certificate acceptance process :

http://technet2.microsoft.com/WindowsServer/en/Library/8fbd7659-ca23-4320-a350-6890049086bc1033.mspx

Dort findest du den Hinweis auf den Key StrongCRLCheck

 

Man beachte: hat der Rechner die CRL im Cache, ruft er eine neue erst NACH ABLAUF der im Cache vorhandenen erneut ab, egal wieviele Zertifikate zwischenzeitlich gesperrt wurden und wieviele CRLs ich zwischenzeitlich nue veröffentlicht habe !

 

grizzly999

Link zu diesem Kommentar

Die Aussage war allgemeiner Natur. Wenn natürlich der Pfad, der in ddem zertifikat angegeben ist, nicht verfügbar ist, kann er die Sperrliste nicht abrufen. Dann muss man entweder diesen punkt verfügbar machen, oder vor Ausstellen des Zertifikats in denEigenschaften der CA diesen Pfad auf einen Erreichbaren abändern und die CRL dann dorthin kopieren.

 

 

grizzly999

Link zu diesem Kommentar

ahhh, das hört sich doch gut an.

Verstehe ich das richtig, ich kann mit meiner Offline Zertifizierungsstelle Zertifikate ausstellen in dem der Pfad zur Sperrliste irgend ein Pfad ist den der ISA erreicht?

Also bspw. irgend ein Ordner in unserem Netz in dem sich auch der ISA befindet oder sogar auf dem ISA selbst?

 

Wenn ja, wie stelle ich das genau an, den Pfad dorthin angeben? Wie gesagt meine Zertifizierungsstelle ist genau nach Deinem HowTo aufgesetzt. Wäre vieleicht auch noch was für das HowTo. Die Frage nach der Sperrung stellt sich ja früher oder später zwangsläufig.

 

Vielen Dank.

 

mfg Hans

Link zu diesem Kommentar

Wie schon gesagt, das geht.

 

Man öffne das verwaltungstool für die Zertifizeirungsstelle, wähle diese aus, rechte Maustaste -> Eigenschaften.

Dann unter Reiter "Erweiterungen" bei Sperrliste-Verteilpunkt kann man Verteilpunkte hinzufügen oder auch entfernen. Möglich sind LDAP-Pfade (Active Directory), HTTP-URLs,FTP-URLs und File-Freigaben. Am ehesten würde ich eine HTTP-URL nehmen.

Wie das dann aussehen muss, sieht man ja bei den schon drin stehenden Pfaden. Wichtig: man muss den Dateinamen der CRL mitangeben, also z.B.

http:// www. meinedom. com/pki/meineca.crl

 

Wenn die anderen Pfade nicht erreichbar sind, kann man sie entfernen, oder zumindest das Häkchen bei "In CDP-Erweiterung des ausgestellten Zertifikats einbeziehen" entfernen.

Repsektive muss für den neu hinzugefügten Pfad dieses Häkchen gesetzt werden.

 

Natürlich wird der angebene Pfad nur in alle danach ausgestellten Zertifikate eingetragen, nicht in schon bestehende Zertifikate.

 

Und: man muss die CRL manuell dorthin kopieren, und zwar immer, wenn eine neue erstellt wird (dazu die CA wieder Online nehmen). Das Standardintervall, wenn nicht geändert, beträgt 1 Woche.

 

 

grizzly999

Link zu diesem Kommentar

@grizzly

nochmal herzilchen Dank für die ausführliche Beschreibung.

Ich hab (glaub ich) "nur" noch drei kleine Fragen. ;-)

 

1. Kann ich als Pfad auch "\\ISA\c$\irgendwas" angeben? (kann also das Zertifikat auf eine administrative Freigabe zugreifen oder wie sieht es da mit den Berechtigungen aus?)

 

2. Kann ich unter diesem Pfad die Sperrliste legen, die man mittels "http://Server/certsrv" von der Zertifizierungsstelle downloaden kann? (dann bräuchet ich doch entgegen Deiner Aussage die CA nie Online nehmen, denn ich könnte die Sperrliste auch via USB-Stick kopieren "nur zum Verständnis")

 

3. Wie kann ich den Intervall, nach dem das Zertifikat in die Sperrliste schaut, verändern?

 

Vielen Dank.

 

Beste Grüße.

 

Hans

Link zu diesem Kommentar
Kann ich als Pfad auch "\\ISA\c$\irgendwas" angeben? (kann also das Zertifikat auf eine administrative Freigabe zugreifen oder wie sieht es da mit den Berechtigungen aus?)

Im Prinzip ja, aber habe ich noch nicht gemacht (HTTP ist mir lieber :) )

Der Pfad würde dann file:///........ lauten. Kann man in der CA wie oben beschrieben in den standard vorgegebenen Pfaden prüfen. Der Rechner müsste dann Leseberechtigung auf Freigabe, Ordner und Datei haben, am besten Jeder -> Lesen eintragen

 

Kann ich unter diesem Pfad die Sperrliste legen, die man mittels "http://Server/certsrv" von der Zertifizierungsstelle downloaden kann? (dann bräuchet ich doch entgegen Deiner Aussage die CA nie Online nehmen, denn ich könnte die Sperrliste auch via USB-Stick kopieren "nur zum Verständnis")

Exakt :)

Genau diese Datei mit der Endung .crl ist es.

 

 

Wie kann ich den Intervall, nach dem das Zertifikat in die Sperrliste schaut, verändern?

In der CA rechte Maustaste auf den gelben "Ordner" Gesperrte Zertifikate/Eigenschaften.

 

Dort ist das Intervall einstellbar. bei Erstellen der Sperrliste wird dann in die Sperrliste selber (diese kann man ja öffnen und nachschauen) der Termin der Nächsten Aktualisierung basierend auf der genannten Einstellung hineingeschrieben. An diesem Termin orientert sich der Rechner, der die CRL in seinen Cache legt.

 

grizzly999

Link zu diesem Kommentar

@grizzly

 

Wie das immer so ist habe ich doch noch eine Frage.

Ich habe jetzt die Sperrliste nach Deiner o.g. Beschreibung angelegt und der Pfad ist auch richtig eingegeben.

Ich habe das jetzt so gemacht das ich die Sperrliste (immer wenn sich was ändert) an der OfflineZertifizierungsstelle exportiere (downloade) und in einen Ordner direkt auf dem ISA (o.g. Pfad) lege.

Ich habe nun die Aktualisierungszeit auf eine Stunde herab gesetzt.

Nun frage ich mich, woher der ISA weiß das er alle Stunde in den Ordner schauen soll wo er die Sperrliste findet.

 

Und mich würde noch interessieren wie man den "Abruf" der Sperrliste manuell anstossen kann?

Eine Stunde kann bei Verlust eines Notebooks u.U. zu lange sein wenn der Client-User auch noch seine VPN-Zugangsdaten gespeichert hat.

 

Vielen Dank.

 

mfg Hans

Link zu diesem Kommentar
@grizzly

Wie das immer so ist habe ich doch noch eine Frage.

Aber nur noch EINE :D :D :D (Scherzle g'macht)

 

Ich habe nun die Aktualisierungszeit auf eine Stunde herab gesetzt.

Nun frage ich mich, woher der ISA weiß das er alle Stunde in den Ordner schauen soll wo er die Sperrliste findet

Wie oben schon gesagt, der Zeitpunkt der Veröffentlichung und auch der Zeitpunkt nächsten Veröffentlichung steht in der CRL drin. Öffne sie mal mit dem IE, oder durch Doppeklick und schaue rein. Nichts anderes macht die PKI-Applikation (hier der VPN-Server). Er merkt sich, wann die nächste Veröffentlichung ist, und schaut erst danach bei Bedarf wieder nach.

 

Und mich würde noch interessieren wie man den "Abruf" der Sperrliste manuell anstossen kann?

WICHTIG: So lange bleibt diese CRL im Cache!! Man kann den Cache nicht leeren, no way, und nicht neu zum Abrufen anschubsen, sorry :(

 

Eine Stunde kann bei Verlust eines Notebooks u.U. zu lange sein wenn der Client-User auch noch seine VPN-Zugangsdaten gespeichert hat

Naja, da würde ich mal die Kirche noch im Dorf lassen :)

Soll man alle 10 Minuten eine Sperrliste veröffentlichen? Die meisten CAs von offiziellen Institutionen (VeriSign, TC Trust Center, etc.), deren Zertifikate nach EUSigG sogar Unterschriftscharakter auch bei verträgen und Geschäften haben, veröffentlichen in mind. 1-2 Wochen Intervallen.

Außerdem, bei einem VPN-Aufbau mit L2TP/IPSec findet ja nicht nur eine Computerauthentifizierung statt, die dient ja nur für das IPSec. Der Benutzer muss sich auch noch authentifizieren. Und bis du in deinem Fall überhaupt die CA gestartet, eine Sperrliste erstellt und dann dorthin kopiert hast, habe ich per RAS-Richtlinie oder im AD nicht nur den einen User für den VPN-Zugriff gesperrt, sondern nebenher auch noch 30 Kontenleichen aus dem AD entfernt :D

 

Der Rest ist Paranoia (ich meine jetzt nicht dich, sondern ganz allgemein ;) )

 

grizzly999

Link zu diesem Kommentar

Da hast du volkommen Recht.

Ich glaube eine Stunde ist in jedem Fall OK.

 

Da mein Wissen über Zertifizierungsstellen noch zu gering ist, habe ich das mit dem Veröffentlichen immer noch nicht ganz gecheckt (arrrg) :(

 

Wenn ich jetzt die erste Sperrliste in den Ordner auf dem ISA lege und das Stamm -und Computerzertifikat zum ersten mal auf dem ISA importiere, schaut dann der ISA auf Grund des Pfades in seinem Zertifikat gleich erst einmal auf den Ordner und holt sich die erste Sperrliste, merkt sich dann den Aktualisierungsintervall und holt dann immer die folgenden Listen nach dem selben Prinzip?

 

Will sagen, ich versteh eigentlich nur nicht wie er es beim ersten mal macht. Da weiss er ja nicht welchen Intervall er hat, da er ja noch keine Sperrliste im Cache hat in der (in unserm Fall) eine Stunde steht. Oder nimmt er dann jetzt beim ersten mal den Standard von einer Woche? Das wäre schlecht jetzt zum testen eine Woche zu warten ob alles funzt...

 

 

Vielen Dank.

 

Beste Grüße

 

Hans

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...