Zertifikat Sperrlisten können nicht abgerufen werden

[shoty 10]

Hallo,

 

ich bin etwas verzweifelt. Ich habe einen RAS Server für eine AlwaysON VPN Einwahl aufgesetzt. Die Clients wählen sich per IKEv2 Computerzertifikat und Devicetunnel automatisch ein. Dies funktioniert auch ohne Probleme. 

Nun möchte ich ein Computerzertifikat sperren (im Fall eines Notebookdiebstahl z.B.). Nachdem ich das Zertifikat gesperrt habe kann sich aber der Client weiterhin einwählen per VPN!? Die Sperrlisten werden einwandfrei verteilt und sind auch von extern sowie intern erreichbar. 

Komischerweise bekomme ich immer auf dem RAS Server unter den CAPI2 Eventlog die Meldung: The revocation function was unable to check revocation because the revocation server was offline

Über Certutil kann ich auch ohne Probleme die Sperrlisten vom RAS Server abfragen. Die Verbindung scheint hier also kein Problem zu sein.

Ich verstehe nicht, woran es noch liegen kann. Hat vielleicht jemand schon mal mit einem gleichen Problem gekämpft?

 

RAS Server - Windows 2019 - steht im DMZ

CA Server - Windows 2016

 

[NorbertFe 446]

Für DIrect Access kenne ich sowas auch, da hilft nur deaktivieren des Computerkontos. AlwaysOn hab ich nirgends im Einsatz, und kann da leider nicht helfen.

[shoty 10]

Always On VPN ist ja quasi der Nachfolger von Direct Access. Vielleicht hat das noch nie funktioniert!

Hab das gerade mal mit dem Computerkonto sperren getestet. Da der Rechner ja im lokalen Zustand hochfährt und dann erst die VPN Verbindung aufbaut, scheint ihn das sperren des Kontos nicht zu interessieren, ich kann trotzdem überall drauf zugreifen!? Hilft mir also auch nicht weiter!

Edited November 27 by shoty

[NorbertFe 446]

vor 33 Minuten schrieb shoty:

Always On VPN ist ja quasi der Nachfolger von Direct Access. Vielleicht hat das noch nie funktioniert!

Naja technisch is da schon ein ziemlicher Unterschied finde ich. ;)

 

[shoty 10]

Hat denn sonst niemand eine Idee, nach was ich noch schauen kann, wenn die Sperrlisten nicht abgerufen werden können?

The revocation function was unable to check revocation because the revocation server was offline

[testperson 344]

Hi,

 

Microsoft Support oder ggfs: https://directaccess.richardhicks.com/contact/

 

Gruß

Jan

[shoty 10]

Microsoft Support hab ich auch schon Kontaktiert, die Antwort war, dass es eine HowTo-Frage sei. Sie würden nur Probleme bearbeiten, die vorher schon mal funktioniert hätten. Ich hab es eskalieren lassen und seit dem nichts mehr gehört! Danke Microsoft!

Ich hab nun den Richard Hicks mal angeschrieben, mal schauen...

[NilsK 790]

Moin,

 

ja, Microsofts Support arbeitet da wie viele andere Supportorganisationen. Anleitungen zur Ersteinrichtung bekommt man nicht. Manchmal ärgerlich, aber letztlich legitim.

 

Welche Pfade stehen denn im Zertifikat für die Sperrliste? Ist auch ein OCSP-URL hinterlegt? Möglicherweise arbeitet die Abfrage aus der Serverkomponente anders als die von certutil.

 

Gruß, Nils

 

[shoty 10]

In der Sperrliste stehen nur URLs drin, siehe:

[1]Aktuellste Sperrliste
     Name des Verteilungspunktes:
          Vollst. Name:
               URL=http://xxx.xxx.de/pki/XXXStammzertifizierung(1)+.crl

diese Adresse ist auch von extern und intern erreichbar und es wird auch das Sperrlistenzertifikat angezeigt.
 

[NilsK 790]

Moin,

 

auf die Schnelle habe ich leider keine Lösung für das CRL-Problem. Aber ein wichtiger Hinweis: Für dein Szenario ist das Sperren des Zertifikats i.d.R. nicht der richtige Weg bzw. das reicht nicht aus. Da eine Sperrliste immer eine Laufzeit hat, wird das Sperren eines Zertifikats immer eine längere Verzögerung bedeuten. Möchtest du einen Zertifikatsinhaber schnell aussperren (was hier ja das Szenario zu sein scheint), musst du das primär auf anderem Wege tun, also meist das Zugangskonto selbst sperren. Nur so sorgst du für eine schnelle Wirkung.

 

Zu der Fehlermeldung gibt es eine Reihe von Fundstellen im Web, geh die mal durch. Manchmal sind es simple Dinge wie ein falscher Authentifizierungsmodus auf dem Webserver.

 

Gruß, Nils

 

Edited Thursday at 02:14 PM by NilsK

[zahni 227]

Befindet sich der RAS-Server hinter einem Proxy? Ist der Proxy mittels netsh für das System-Konto konfiguriert?

Für "zeitkritisch" immer einen Online Responder verwenden. Allerdings kann für die Sperrung auch nicht garantiert werden, wenn der nicht erreichbar ist.

[shoty 10]

Hi Zahni,

 

der RAS Server steht im DMZ und geht auch nicht über einen Proxy. Der Internetzugriff ist auch blockiert. Es sind nur die Wege ins Interne Netz offen, wie z.B. zur CA und den internen Servern.

 

DMZ: RASServer -> Firewall -> Firewall -> Internes Netz: CA Server

[zahni 227]

Du hast geschrieben, dass die CRL von intern und extern erreichbar ist. Daher habe ich vermutet, dass die CRL irgendwo extern steht. Oder hat die CRL-URL intern eine andere IP-Adresse als extern?

[speer 3]

Am besten mit Wireshark tracen warum der RAS Server keine Verbindung zum abruf der Sperrlisten aufbauen kann.

[xrated2 13]

Einfach Zertifikat ohne CRL erstellen