Windows CA: Zertifikat trotz Sperrung gültig

[gnoovy]

Hi zusammen,

ich habe (erstmals in einer Testumgebung) eine einstufige Windows CA aufgesetzt und ein ipsec-Zertifikat für einen RAS-Server und für einen Windows7-client ausgestellt um damit VPN-Verbindungen zu realisieren. Für die Zertifikatssperrlisten habe ich auf der CA einen Online-Responder eingerichtet. Nun habe ich auf der CA das ausgestellte ipsec-Zertifikat gesperrt. Es wird auch unter gesperrte Zertifikate angezeigt. Mittels GPO-Richtlinien sollen gesperrte Zertifikate auch automatisch entfernt werden.
Allerdings bleibt das Zertifikat auf dem RAS-Server bestehen und wird weiterhin als gültig angezeigt.
Der Online-Responder ist im Zertifikat hinterlegt. Was könnte da das Problem sein?
Hoffe ich habe alles gepostet was wichtig ist. Wenn nicht einfach laut Schreien. :-)

[olc]

Hi,

wie oft wird die CRL bzw. Delta CRL auf der CA veröffentlicht?

Erst, wenn die CRL / Delta CRL regular veröffentlicht wurde, werden die Clients die Sperrung mitbekommen. Es hilft Dir im Moment (ohne OCSP) nichts, die CRL vorher zu veröffentlichen. Die Clients schauen erst nach einer CRL, wenn die alte abgelaufen ist.

Wenn es sich um Windows Vista+ Clients handelt, könntest Du den Ablauf der "Wartezeit" mittels Script o.ä. verkürzen: How to refresh the CRL cache on Windows Vista - Windows PKI blog - Site Home - TechNet Blogs

Viele Grüße
olc

[gnoovy]

hi olc,

eingesetzt werden als DC und CA Windows 2008 R2 Server und Clients Windows 7. Alle mit SP1.
Wo kann ich denn sehen in welchem Intervall die Sperrlisten veröffentlicht werden? Habe auf der CA lediglich den Online-Responder installiert. Ich hatte das so verstanden, dass die Server / Clients ja automatisch beim Online Responder nachfragen.

[dmetzger]

Zitat von gnoovy Wo kann ich denn sehen in welchem Intervall die Sperrlisten veröffentlicht werden?

In den Eigenschaften der Zertifizierungsstelle: certsrv.msc -> "Gesperrte Zertifikate" -> "Parameter für Sperrlistenveröffentlichung".

[gnoovy]

ahhh ich de** :-) klaro dort steht ja eine Woche drin. Also bedeutet dass, dass mein Ras-Server erst nach dieser Woche gesagt bekommt, dass sein Zertifikat nicht mehr gültig ist oder?

[gnoovy]

also habe das Intervall auf eine Stunde eingestellt. Das Scheint auch zu funktionieren wenn ich mir die Sperrliste anschaue. allerdings ist das Zertifikat trotzdem noch als gültig im Ras-Server hinterlegt.
Allerdings ist jetzt keine Verbindung mehr mit Routing und Ras möglich. Also hat die Sperrung nun geklappt? Aber weshalb werden die Zeritifikate noch als gültig angezeigt? Wenn Ihr Screenshots oder weitere Infos braucht jeder Zeit.

[blub]

In der Sperrliste steht doch die Gültigkeitsdauer drinnen, vor Ablauf holt sich der Client keine neue.

blub

[gnoovy]

gut in der Sperrliste steht jetzt auch immer ca. ne Stunde drin. Eine Ras-Verbindung ist jetzt auch nicht mehr möglich. Mich wundert es halt, dass in meinem Ras-Server das ipsec-Zertifikat trotzdem noch als gütlig steht, obwohl es ja auf der CA im Bereich der ausgestellten Zertifikate gesperrt wurde und sich ja jetzt auch unter den gesperrten Zertifikaten befindet.

[blub]

solange der RAS Server noch eine Liste hat, die eine Woche gültig ist, sieht der keine Veranlassung sich eine neue Liste abzuholen.

[gnoovy]

ah okay und wie kann ich das auf dem RAS beschleunigen? und weshalb ist dann jetzt auf einmal keine RAS-Verbindung mehr möglich? Dann muss er ja theoretisch schon was gezogen haben oder?