ASA5505 und Zertifikate

[Whitewater]

Hallo Forum,

ich versuche auf einer ASA5505 die Zertifikats-Services zum Laufen zu bekommen.
Hier eine grobe Umschreibung der Testumgebung:

Cisco ASA5505
Subnetz: 10.96.0.0 / 16

baut einen Tunnel auf zu

Cisco Pix 515E
Subnetz: 172.16.0.0 / 16

Der Microsoft 2003 Zertifikatsserver steht im 172.16.0.0 Subnetz.
Ich habe die Zertifikate manuell beantragt und manuell auf die ASA aufgespielt.
Wenn ich nun aber versuche, die CRL zu beantragen, so sagt er mir "unable to retrieve crl".
Mir scheint es so, als ob er mit dem Zertifikatsserver aus dem 172er Netzwerk durch den VPN Tunnel nicht kommunizieren kann, aber RADIUS läuft zum Beispiel.
Habt ihr eine Idee?
Wenn jemand die Config sehen möchte, kann ich die dann ja posten.

Viele Grüße,
Whitewater

[osirus01]

Hi,

hast Du das mal mit dem SCEP-Protokoll probiert? Kannst Du bei MS downloaden und auf Deiner CA installieren. Dann gibst Du die URL (steht in der Hilfe von SCEP) auf der ASA ein. Darüber zieht die ASA sich dann die CRL.

Gruß

Osirus

[Whitewater]

Hi Osirus,

erstmal danke für den Hinweis.
Ich habe es mit SCEP auch noch einmal probiert, aber ohne Erfolg.
Es sieht für mich so aus, als ob er keine Verbindung zu der CA bekommt.
Hier mal ein Debug (crypto ca request Name 255):

crypto_pki_req(1ab7940, 24, ...)
Crypto CA thread wakes up!
CRYPTO_PKI: http connection opened
CRYPTO_PKI: content dump count 87----------
CRYPTO_PKI: For function crypto_http_send
GET /CertData/Name%20Corporate%20Root%20CA.crl HTTP/1.0
CRYPTO_PKI: For function crypto_http_send
CRYPTO_PKI: content dump-------------------
Crypto CA thread sleeps!
CRYPTO_PKI: Failed to retrieve CRL for trustpoint: Name_CA.
Retrying with next CRL DP...
crypto_pki_req(1ab7940, 24, ...)
Crypto CA thread wakes up!
CRYPTO_PKI: socket connect error.
CRYPTO_PKI: status = 0: failed to open http connection

Irgendeine Idee?

Gruß,
Sven

P.S.: Auch beim automatischen Enrollment des Zertifikats konnte ich keins bekommen, weil er die CA nicht erreichen konnte, daher habe ich das Zertifikat auf dem Router ja auch manuell (Base64) konfiguriert.
Kann es an irgendeiner Einstellung liegen, daß er die CA durch den Tunnel nicht erreichen kann? Wie gesagt: Radius läuft auf der gleichen Maschine wie die CA und das funktioniert.

[Wordo]

Wie ist den der Typ? Transport oder Tunnel? Sieht mit eher so aus als wuerde die externe IP der ASA nicht in den Tunnel "reinpassen"

[Whitewater]

Hi Wordo,

was genau meinst du mit "Typ"?
Die VPN Verbindung ist ein Tunnel.

Gruß,
Whitewater

[Wordo]

Wenn der Typ Tunnel ist, dann wird die externe IP der ASA nicht "in den Tunnel" passen, somit erreichst du auch nicht den Zertifikatsserver.

[Whitewater]

Hm, okay.
Wo stelle ich denn ein, ob es ein Tunnel oder Transport ist?
Habe ich vorher noch nicht gewusst und noch nirgendwo gesehen.

[Wordo]

Vielleicht kannst du bei der ASA sagen sie soll beim enrollen das interne IF als Source nehmen, dann wuerds in den Tunnel passen. Das siehst du nur nie weil der Typ Tunnel default ist.

[Whitewater]

ok, kann ich mal schauen.
Das witzige ist ja, daß , wenn ich die ASA nicht über VPN mit dem Subnetz der CA verbinde, sondern direkt anschliesse (d.h. über das interne IF), dann zieht er sich die CRL sofort und ohne Probleme...(laut CRL-Monitor hat er den Distribution Point vom internen IF genommen)