Jump to content

IAS Server mit Zertifikate

dipa

Von dipa
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

dipa Explorer

dipa   10

Geschrieben
Geschrieben

Hallo zusammen,

 

ich habe ein Problem mit der Implementierung von WLAN Sicherheit (Authentifizierung der Benutzer und Clients am IAS und AD) im Zusammenspiel mit Zertifikaten.

 

Ich habe den ganzen Aufbau der Umgebung lt. der Anleitung „Sichern von Wireless LANs mit Zertifikatsdiensten“ von Microsoft Technet durchgeführt. Klappt auch alles wunderbar, bloß das Sperren der Zertifikate wird nicht erkannt.

 

Dazu habe ich folgende Schritte bereits absolviert:

 

- Testumgebung mit Active Directory auf Basis Windows Server 2003 R2 Standard Edition eingerichtet

- Installation einer offline Ca

- Installation einer austellenden Ca auf einem Memberserver (Windows Server 2003 R2 Enterprise Edition)

- Installation IAS auf einem Memberserver unter Windows Server 2003

- Konfiguration Zertifikatsvorlage und Ausstellung und entsprechendes AutoEnroll per Gruppenrichtlinie an die Benutzer und Computer

- Konfiguration Zertifikate für IAS-Server

- Einrichtung Verbindung mit Access Point

- Konfiguration IAS-Server Richtlinien und die entsprechenden Gruppenrichtlinien für drahtlose Netzwerke

 

Es funktioniert auch alles wunderbar bis zu dem Punkt, wenn man ein Zertifikat eines Benutzers oder Computers sperrt. Der Client und Benutzer darf sich weiterhin am AD anmelden und sich im Netz entsprechend bewegen (WLAN). Der IAS Server lässt ihn in das Netzwerk, obwohl das Zertifikat gesperrt und dies auch in den entsprechenden Sperrlisten veröffentlicht wurde. Diese sind auch lt. dem Tool pkiview.msc erreichbar und sichtbar.

 

Entsprechende Registry-Einträge betreffend der Abfrage der CRL wurden auf dem IAS (Radius Server) gesetzt und getestet, aber es bleibt bei dem Ergebnis.

 

Hat jemand Ideen bzw. Vorschläge, welche Einstellungen man am IAS vornehmen muss, damit der IAS mitbekommt, das die Zertifikate gesperrt wurde?

 

Vielen Dank im voraus für Eure Antworten!

 

dipa :confused:

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Das ist by Design so.

Sperrlisten werden von 2000/XP/2003 heruntergeladen, wenn benötigt, und dann für die Dauer der Gültigkeit gecacht.

Bei der Sperrungsprüfung wird immer zuerst in der gecachten CRL gerüft, solange diese gültig ist.

Standardmäßig ist eine CRL von einer MS-CA 1 Woche gülitg, eine Delat-CRL 1 Tag (hast du die auch eingeschaltet?). XP kann Delat-CRL verwenden.

 

In der CA kann man die INtervalle einstellen, aber wenn von dieser CA bereits eine CRL downgeloadet wurde, muss man diese Gültigkeitsdauer erst abwarten.

 

Der Cache läßt sich BTW nicht (!!) leeren, no go. Das geht erst mit Vista ;)

 

 

grizzly999

Link zu diesem Kommentar
dipa Explorer

dipa   10

Geschrieben
  • Autor
Geschrieben

Hallo,

 

vielen Dank für die Antwort.

 

Ich habe in der Testumgebung die Gültigkeit der CRL auf 2 Stunden gesetzt und die Deltaslisten auf 1 Stunde. Die Veröffentlichung der CRLs klappt auch. Das kann man ja mit dem Tool pkiview kontrollieren. Das wird dort ja wunderbar angezeigt. Trotzdem gibt der IAS den Weg zum AD frei. Kann das am R2 liegen?

 

Eine kleine andere Frage:

Wie kann man die Sperrlisten der CA automatisiert auf einen Webserver bekommen, der intern und extern sichtbar ist. Auf dem eigenen IIS der CA geht das ja wunderbar. Nur auf einem separaten IIS geht das nicht mehr. Muss man dort noch etwas einrichten. Die Berechtigungen stimmen. Momentan behelfe ich mir mit dem Kopieren der Dateien.

 

dipa

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben
Ich habe in der Testumgebung die Gültigkeit der CRL auf 2 Stunden gesetzt und die Deltaslisten auf 1 Stunde. Die Veröffentlichung der CRLs klappt auch. Das kann man ja mit dem Tool pkiview kontrollieren. Das wird dort ja wunderbar angezeigt. Trotzdem gibt der IAS den Weg zum AD frei. Kann das am R2 liegen?

Wie gesagt, wenn der Rechner die "alte Sperrliste mit einer Woche Gültigkeit schon abgerufen hatte, dann ist die bei ihm so lange gültig. Da kannst du noch 10 Sprerrlisten zwischenrein veröffentlichen..... :wink2:

 

Wie kann man die Sperrlisten der CA automatisiert auf einen Webserver bekommen, der intern und extern sichtbar ist. Auf dem eigenen IIS der CA geht das ja wunderbar. Nur auf einem separaten IIS geht das nicht mehr. Muss man dort noch etwas einrichten. Die Berechtigungen stimmen. Momentan behelfe ich mir mit dem Kopieren der Dateien.

Yep, der einzig mir bekannte Weg, am besten mittels eines geplanten Batch-Jobs. CRL werden nur lokal veröffentlicht.

 

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...