Hallo zusammen,
seit längerer Zeit beobachte ich ein Problem bei der Sperrung von Zertifikaten. Trotz der Sperrung kann ein Benutzer weiterhin auf zb. auf einen VPN Server mittels seiner SSTP Verbindung verbinden.
Mein Aufbau:
DC1= Domain Controller (Unternehmensstammzertifizierungsstelle)
VPN= VPN Server (Memberserver, Routing und Ras)
Win7= Clientcomputer (Win7, Mitglied der Domäne)
Alle Systeme sind in einer Testumgebung und im gleichen Subnetz. (Auch in einer real nachgestellten Struktur mit getrennten Netzen tritt das Problem auf.)
Der VPN Server hat über den IIS ein Webserverzertifikat erstellt. Der Win7-Client hat ein Benutzerzertifikat über die MMC Konsole vom DC1 angefordert.
Die Sperrliste wurde ebenfalls ergänzt und die Überprüfung scheint zu klappen. Kein Fehler:
Fehler „0x80092013“
Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.
Mein Problem:
Wenn ich das Zertifikat für den Benutzer auf der Zertifizierungsstelle sperre (Zertifikat blockieren)
Dann kann sich der Benutzer trotzdem noch über viele Stunden auf dem VPN Server einloggen.
Unabhängig davon ob ich die Zertifikatssperrlisten erneut ausstelle/aktualisiere.
Das will ich natürlich verhindern und möchte erreichen das der Zugriff SOFORT gesperrt wird.
Meine Überlegungen/Fragen dazu:
1. Wenn ich auf dem Zertifikatserver das Zertifikat blockiere, muss doch, unabhängig von der Client Konfiguration (Cache etc.), der Zugriff des Clients bzw. Benutzers unterbunden sein?! Sonst könnte der Client Registry Kniffe oder sonst was anwenden, um sich trotzdem einen Zugang zu verschaffen.
Im Klartext: Am Client kann es nicht liegen bzw. hier muss ich nicht tätig werden.
Das Problem liegt an der Zertifizierungsstelle oder dem VPN Server.
2. Unabhängig davon ob ein Client überhaupt die veröffentlichte Sperrliste überprüfen kann oder ob mit dem "NoCertRevocationCheck" Registryeintrag auf dem Client "gearbeitet" wird, darf das keine Auswirkungen auf das Gesperrte Zertifikat haben.
Klartext: Ist das Benutzerzertifikat Serverseitig gesperrt, dann kann der Client machen was er will, er kann keine Verbindung aufbauen, korrekt?!
3. Wie erreiche ich eine sofortige Sperrung des Zertifikats so das der Clientbenutzer augenblicklich daran gehindert wird, eine Verbindung zum Server aufzubauen?
Vielen Dank
Mfg Henry S.