Dunkelmann 96 Geschrieben 5. April 2011 Melden Teilen Geschrieben 5. April 2011 Moin, ich habe in meiner Laborumgebung ein kleines Problem mit der ASA und einem über TMG veröffentlichtem Online Responder. Die Situation: Es gibt eine handvoll ASA 5505/5510 mit SECPLUS zwischen denen ein IPSec VPN aufgebaut wird. Es gibt eine zweistufige PKI mit Offline Root, zwei Issuing CAs, einem OCSP und Sperrlisten-Verteilungspunkt (http) in der DMZ. Es gibt einen TMG über den die Sperrlisten und der Online Responder veröffentlicht werden. Das Problem: Beim VPN Aufbau zwischen den Standorten wird der Zertifikatsstatus per Online Responder von der ASA geprüft - so weit so gut. Mein Problem dabei ist, dass die ASA anstelle der OCSP-url: http://pki.labor.extern/ocsp nur die externe IP Adresse der Website: http://47.11.08.15/ocsp an den Reverseproxy (TMG) sendet. Der TMG lässt sich zwar entsprechend konfigurieren, dass jegliche Anfragen nach dem Pfad "*\ocsp" an den Server in der DMZ weitergeleitet werden, schön ist aber anders. Die Frage: Gibt es eine Möglichkeit, die ASA dazu zubringen, die vollständige URL anstelle der IP-Adresse an den Reverseproxy zusenden? Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 7. April 2011 Autor Melden Teilen Geschrieben 7. April 2011 Anscheinend bietet die ASA diese Möglichkeit nicht. :suspect: Ich habe mich daher entschieden, Host- und Domänenkennung nochmal zusätzlich im Pfad anzugeben um mir die Option weiterer Domänen mit eigener PKI nicht zu verbauen. Mein OCSP ist nun unter der URL: http://pki.labor.extern/pki/labor/ocsp erreichbar. Weitere Domänen, AIA, CDP und OCSP werden dann analog aufgebaut. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.