Dunkelmann 96 Geschrieben 5. April 2011 Melden Geschrieben 5. April 2011 Moin, ich habe in meiner Laborumgebung ein kleines Problem mit der ASA und einem über TMG veröffentlichtem Online Responder. Die Situation: Es gibt eine handvoll ASA 5505/5510 mit SECPLUS zwischen denen ein IPSec VPN aufgebaut wird. Es gibt eine zweistufige PKI mit Offline Root, zwei Issuing CAs, einem OCSP und Sperrlisten-Verteilungspunkt (http) in der DMZ. Es gibt einen TMG über den die Sperrlisten und der Online Responder veröffentlicht werden. Das Problem: Beim VPN Aufbau zwischen den Standorten wird der Zertifikatsstatus per Online Responder von der ASA geprüft - so weit so gut. Mein Problem dabei ist, dass die ASA anstelle der OCSP-url: http://pki.labor.extern/ocsp nur die externe IP Adresse der Website: http://47.11.08.15/ocsp an den Reverseproxy (TMG) sendet. Der TMG lässt sich zwar entsprechend konfigurieren, dass jegliche Anfragen nach dem Pfad "*\ocsp" an den Server in der DMZ weitergeleitet werden, schön ist aber anders. Die Frage: Gibt es eine Möglichkeit, die ASA dazu zubringen, die vollständige URL anstelle der IP-Adresse an den Reverseproxy zusenden?
Dunkelmann 96 Geschrieben 7. April 2011 Autor Melden Geschrieben 7. April 2011 Anscheinend bietet die ASA diese Möglichkeit nicht. :suspect: Ich habe mich daher entschieden, Host- und Domänenkennung nochmal zusätzlich im Pfad anzugeben um mir die Option weiterer Domänen mit eigener PKI nicht zu verbauen. Mein OCSP ist nun unter der URL: http://pki.labor.extern/pki/labor/ocsp erreichbar. Weitere Domänen, AIA, CDP und OCSP werden dann analog aufgebaut.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden