Jump to content

VPN-Einwahl trotz gesperrtem Zertifikat


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich habe auf einem W2K3-E einen VPN-Server und eine Zertifizierungsstelle eingerichtet und per RAS-Richtlinie definiert, dass sich nur Benutzer mit Zertifikat einwählen dürfen. Wenn ich jetzt den Client entsprechend konfiguriere und ohne Zertifikat versuche, eine Verbindung aufzubauen, dann wird diese aufgrund eines fehlenden Zertifikates abgelehnt. Fordere ich dann über die certsrv-Seite des Zertifizierungsservers ein Zertifikat an und installiere dies, dann kommt die Verbindung zustande. Soweit korrekt...

Wenn ich jetzt aber in der Zertifizierungsstelle das Zertifikat sperre, dann ist auch weiterhin eine Einwahl möglich. Scheinbar prüft nur der Client, ob er ein Zertifikat hat, nicht der Server ob dieses gültig ist.

Kann mir jemand sagen, woran das liegt?

 

Schonmal besten Dank,

Grüße,

Hollaridoh

Link zu diesem Kommentar

Ah. ok.

Nun es ist so, dass der VPN-Server für das Zertifikat die Zertifikatskette bis zum Rootzertifikat bildet und auch beim ersten mal die Sperrlisten bis zur obersten Sperrliste abruft.

Die Sperrliste(n) speichert der Rechner - hier der VPN-Server - für die Dauer ihrer Gültigkeit in einem geschützten Speicherbereich. Danach ruft er die Sperrliste, selbst wenn eine Neue veröffentlicht wird, nicht mehr ab, bis sie abgelaufen ist, sondern prüft in der Zeit immer gegen die gecachte noch gültige Version . Wenn du alles standardmäßig installiert hast, ist das eine Woche. Dieser "Cache" lässt sich bei Microsoft nicht beeinflußen, weder per GUI, noch mit einem Kommandozeilen-Tool.

Also, entweder warten bis die Liste abgelaufen ist, oder den User-Acount selber solange sperren, oder solange eine Verweigern-RAS-Richtlinie für diesen User eirichten.

 

grizzly999

Link zu diesem Kommentar

Hallo grizzly999,

 

vielen Dank für die Antwort und die ausführliche Erklärung.

 

Aber besonders sinnvoll ist dieser Prozess von MS ja dann nicht gerade umgesetzt...

Dann ist es zumindest auch nicht unsicherer, nur ein Zertifikat für alle Benutzer auszustellen, bei "Diebstahl" hätte ja der "Dieb" immerhin eine Woche Zeit, per Brute Force Zugangsmöglichkeiten auszuprobieren. Muss man nicht verstehen, oder?

 

Trotzdem Dir nochmals vielen Dank!

Link zu diesem Kommentar

Das ist nicht nur bei Microsoft so, sondern allgemein. Offizielle Root CAs wie z.B. VeriSign veröffentlichen auch meist nur Sperrlisten nach einer Woche. Und solange müssen die natürlich gültig sein.

 

Dann ist es zumindest auch nicht unsicherer, nur ein Zertifikat für alle Benutzer auszustellen, bei "Diebstahl" hätte ja der "Dieb" immerhin eine Woche Zeit, per Brute Force Zugangsmöglichkeiten auszuprobieren

Doch ist es unsicherer, weil ich Benutzer nicht distinguieren kann.

Und:

1.) Braucht er das Zertifikat MIT samt dem privaten Schlüssel. Wenn er da rankommt, dann habe ich sowieso verloren

2.) Braucht er dann keine Brutforce Methoden, denn mit Zertifikatauthentifizierung werde ich bei der Einwahl nicht nach einem Kennwort gefragt. Mein Zertifikat ist der Authentifizierungsnachweis.

 

Aus Gründen eines möglichen Diebstahls ist deshalb nicht unbedingt das Zertifikat als solches empfohlen, sondern der Einsatz von SmartCard, wo der private Key geschützt durch einen Pin auf der Karte liegt ;)

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...