HenryS

Hallo, ich realisiere alles über den Windows Server 2012 R2, ich habe keine weitere Hardware/Software Lösung mit drin. Ich möchte einfach einen Win7 Client Computer an den VPN Server anbinden welche sich alle innerhalb einer Domäne befinden. Der Online Responder selbst sollte doch auch auf einem Webserver liegen um von außen für externe Clients, genauso wie die Sperrlisten, erreichbar sein oder nicht? Bedeutet, ich bräuchte neben dem DC1 der intern steht, auf dem VPN Server, welcher als Edgeserver (2 Netzwerkkarten, eine im internen, eine im externen Netz), eine weitere Zertifizierungsstelle um zumindest den Online Responder dort zu installieren, korrekt?

Danke für die Antworten, Zu Zahni: Kann ich den Online Responder nachträglich installieren und mit den bestehenden Zertifikaten verwenden? Wo installiere ich den Online Responder am besten, auch auf dem VPN Server bzw. dort wo ich die Sperrlisten veröffentlicht habe? Der Befehl: Certutil -urlcache * delete .. löscht jede Menge auf dem DC1 und Clientcomputer. Hier die Meldung für den Client. Beim DC1 sinds 35. Und beim VPN Server 0 Einträge. Die CertUtil Meldung ist bei allen gleich. Allerdings wird das Zertifikat trotzdem nicht gesperrt. bzw. lässt sich immer noch verwenden. Habs nun auch mit dem Webserver Zertifikat probiert, genauso. { Gelöschte WinINet-Cacheeinträge: 4 CertUtil: -URLCache-Befehl ist fehlgeschlagen: 0x80070103 <WIN32/HTTP: 259> CertUtil: Es sind keine Daten mehr verfügbar. } Zu Nils: Wie kann ich das am besten überprüfen mit dem Zugriff?

Hallo Nils, danke für die Antwort. Es geht tatsächlich um Benutzerzertifikate auf Seite des Clients. zb. für den angemeldeten Benutzer: Benutzer1 (Mit Computerzertifikaten auf Seiten des Clients, komme ich nicht weit.) Dieser holt sich sein Zertifikat über die Mmc Konsole. Das angeforderte Zertifikat wird auch unter den ausgestellten Zertifikaten mit angezeigt. Die Zertifikatssperrliste (Zertifizierungsstelle -> Erweiterungen) weist die korrekten Veröffentlichungspunkte aus. Sowohl mit http Pfad als auch mit Dateisystem Pfadangabe. Die Sperrlisten lassen sich auch ohne weitere Probleme dort veröffentlichen. Die normale Sperrliste als auch die Deltasperrliste. In den ausgestellten Benutzerzertifikaten zb. für Benutzer1, stehen auch die Pfadangaben unter Zertifikatdetails -> Sperrlisten mit drin. Auch die Sperrlisten selbst enthalten das gesperrte Zertifikat des Benutzers. Daher, das erneute Ausstellen der Sperrlisten über die Zertifizierungsstelle -> Gesperrte Zertifikate .. funktioniert und überschreibt im Dateisystem die alten ausgestellten Sperrlisten mit den neuen, welche auch die aktualisierte Werte enthalten. In Puncto Cookies bin ich überfragt, da kommt dann meine Frage ins Spiel.

Hallo zusammen, seit längerer Zeit beobachte ich ein Problem bei der Sperrung von Zertifikaten. Trotz der Sperrung kann ein Benutzer weiterhin auf zb. auf einen VPN Server mittels seiner SSTP Verbindung verbinden. Mein Aufbau: DC1= Domain Controller (Unternehmensstammzertifizierungsstelle) VPN= VPN Server (Memberserver, Routing und Ras) Win7= Clientcomputer (Win7, Mitglied der Domäne) Alle Systeme sind in einer Testumgebung und im gleichen Subnetz. (Auch in einer real nachgestellten Struktur mit getrennten Netzen tritt das Problem auf.) Der VPN Server hat über den IIS ein Webserverzertifikat erstellt. Der Win7-Client hat ein Benutzerzertifikat über die MMC Konsole vom DC1 angefordert. Die Sperrliste wurde ebenfalls ergänzt und die Überprüfung scheint zu klappen. Kein Fehler: Fehler „0x80092013“ Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. Mein Problem: Wenn ich das Zertifikat für den Benutzer auf der Zertifizierungsstelle sperre (Zertifikat blockieren) Dann kann sich der Benutzer trotzdem noch über viele Stunden auf dem VPN Server einloggen. Unabhängig davon ob ich die Zertifikatssperrlisten erneut ausstelle/aktualisiere. Das will ich natürlich verhindern und möchte erreichen das der Zugriff SOFORT gesperrt wird. Meine Überlegungen/Fragen dazu: 1. Wenn ich auf dem Zertifikatserver das Zertifikat blockiere, muss doch, unabhängig von der Client Konfiguration (Cache etc.), der Zugriff des Clients bzw. Benutzers unterbunden sein?! Sonst könnte der Client Registry Kniffe oder sonst was anwenden, um sich trotzdem einen Zugang zu verschaffen. Im Klartext: Am Client kann es nicht liegen bzw. hier muss ich nicht tätig werden. Das Problem liegt an der Zertifizierungsstelle oder dem VPN Server. 2. Unabhängig davon ob ein Client überhaupt die veröffentlichte Sperrliste überprüfen kann oder ob mit dem "NoCertRevocationCheck" Registryeintrag auf dem Client "gearbeitet" wird, darf das keine Auswirkungen auf das Gesperrte Zertifikat haben. Klartext: Ist das Benutzerzertifikat Serverseitig gesperrt, dann kann der Client machen was er will, er kann keine Verbindung aufbauen, korrekt?! 3. Wie erreiche ich eine sofortige Sperrung des Zertifikats so das der Clientbenutzer augenblicklich daran gehindert wird, eine Verbindung zum Server aufzubauen? Vielen Dank Mfg Henry S.