ralpht
Goto Top

Zertifikat sperren - Dauer bis zur Sperrung

Moin,

ich habe mir eine 2-stufige PKI Testumgebung mit einer offline ROTT-CA aufgebaut. Ein Rechner, der Mitglied der Testdomäne ist, soll eine WLAN-Verbindung, gesichert mit Zertifikaten aufbauen. Hier habe ich EAP-TLS gewählt. Der Client benötigt also auch ein Zertifikat und hat es auch in seinem Speicher (Computer).
Funktioniert alles soweit gut.

Jetzt habe ich auf der Sub-CA das Computerzertifikat von dem Client gesperrt. Der Client soll keine WLAN-Verbindung mehr aufbauen dürfen. Die Standardwerte zur Veröffentlichung der Basis- und Deltasperrliste habe ich so belassen. Also Basissperrliste hat 7 Tage, die Deltasperliste hat als Intervall einen Tag. Noch zur weiteren Info: Die Veröffentlichung der Sperrlisten habe ich über LDAP, HTTP und über eine Freigabe realisiert. Um das zu testen, wollte ich nicht so lange warten. Ich habe auf dem Client den Cache mit "certutil -urlcache CRL delete" gelöscht. Danach habe ich wieder probiert eine WLAN-Verbindung aufzubauen. Das funktionierte immer noch. Erst am nächsten Tag funktionierte es nicht mehr. Auch in der Ereignisanzeige war dann ein Eintrag, dass das Zertifiakt gesperrt wurde. Ist das Verhalten richtig oder kann man das händisch doch beschleunigen?

Dann hatte ich auf dem Client in der MMC mir das Zertifikat angesehen. In der MMC wird mir das bis jetzt immer noch als gültig angezeigt. Ist das richtig?

Content-Key: 360231

Url: https://administrator.de/contentid/360231

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: Dani
Lösung Dani 08.01.2018 um 11:46:25 Uhr
Goto Top
Moin,
Auch in der Ereignisanzeige war dann ein Eintrag, dass das Zertifiakt gesperrt wurde. Ist das Verhalten richtig oder kann man das händisch doch beschleunigen?
Jup, die Deltasperrliste manuell aktualiseren.

Die Veröffentlichung der Sperrlisten habe ich über LDAP, HTTP und über eine Freigabe realisiert.
Ich würde die Sperrlisten ausschließlich über HTTP bereitstellen. Ist übersichtlicher, sicherer und jedes Gerät kann damit umgehen. Gerade wenn du die Sperrliste im Internet benötigst (z.B. DirectAccess) ist ein Veröffentlichung unumgänglich. Des Weiteren ist ein Umzug der PKI bzw. Sperrliste mit einem DNS Alias und HTTP einfacher als mit Freigaben und LDAP.

Dann hatte ich auf dem Client in der MMC mir das Zertifikat angesehen. In der MMC wird mir das bis jetzt immer noch als gültig angezeigt. Ist das richtig?
Das wird daran liegen, dass in der MMC die Sperrliste nicht registiert ist. Somit erfolgt der CRL-Ceck meines Wisssens nach erst bei Verwendung durch die Applikation.


Gruß,
Dani
Mitglied: RalphT
RalphT 08.01.2018 um 13:12:10 Uhr
Goto Top
Jup, die Deltasperrliste manuell aktualiseren.

Ja, das war der richtige Tipp. Die Sperrliste (nur Delta) auf der CA veröffentlicht und am Client dauert es nur wenige Sekunden, bis das Zertifikat bei ihm als gesperrt erkannt wurde. Auch eine WLAN-Verbindung ließ sich danach nicht mehr aufbauen.

Ich würde die Sperrlisten ausschließlich über HTTP bereitstellen. Ist übersichtlicher, sicherer und jedes Gerät kann damit umgehen. Gerade wenn du die Sperrliste im Internet benötigst (z.B. DirectAccess) ist ein Veröffentlichung unumgänglich. Des Weiteren ist ein Umzug der PKI bzw. Sperrliste mit einem DNS Alias und HTTP einfacher als mit Freigaben und LDAP.

Noch mal danke für den Tipp.