Jump to content
shoty

Zertifikat Sperrlisten können nicht abgerufen werden

Recommended Posts

Hallo,

 

ich bin etwas verzweifelt. Ich habe einen RAS Server für eine AlwaysON VPN Einwahl aufgesetzt. Die Clients wählen sich per IKEv2 Computerzertifikat und Devicetunnel automatisch ein. Dies funktioniert auch ohne Probleme. 

Nun möchte ich ein Computerzertifikat sperren (im Fall eines Notebookdiebstahl z.B.). Nachdem ich das Zertifikat gesperrt habe kann sich aber der Client weiterhin einwählen per VPN!? Die Sperrlisten werden einwandfrei verteilt und sind auch von extern sowie intern erreichbar. 

Komischerweise bekomme ich immer auf dem RAS Server unter den CAPI2 Eventlog die Meldung: The revocation function was unable to check revocation because the revocation server was offline

Über Certutil kann ich auch ohne Probleme die Sperrlisten vom RAS Server abfragen. Die Verbindung scheint hier also kein Problem zu sein.

Ich verstehe nicht, woran es noch liegen kann. Hat vielleicht jemand schon mal mit einem gleichen Problem gekämpft?

 

RAS Server - Windows 2019 - steht im DMZ

CA Server - Windows 2016

 

Share this post


Link to post
Share on other sites

Für DIrect Access kenne ich sowas auch, da hilft nur deaktivieren des Computerkontos. AlwaysOn hab ich nirgends im Einsatz, und kann da leider nicht helfen.

Share this post


Link to post
Share on other sites

Always On VPN ist ja quasi der Nachfolger von Direct Access. Vielleicht hat das noch nie funktioniert!

Hab das gerade mal mit dem Computerkonto sperren getestet. Da der Rechner ja im lokalen Zustand hochfährt und dann erst die VPN Verbindung aufbaut, scheint ihn das sperren des Kontos nicht zu interessieren, ich kann trotzdem überall drauf zugreifen!? Hilft mir also auch nicht weiter!

Edited by shoty

Share this post


Link to post
Share on other sites
vor 33 Minuten schrieb shoty:

Always On VPN ist ja quasi der Nachfolger von Direct Access. Vielleicht hat das noch nie funktioniert!

Naja technisch is da schon ein ziemlicher Unterschied finde ich. ;)

 

Share this post


Link to post
Share on other sites

Hat denn sonst niemand eine Idee, nach was ich noch schauen kann, wenn die Sperrlisten nicht abgerufen werden können?

The revocation function was unable to check revocation because the revocation server was offline

Share this post


Link to post
Share on other sites

Microsoft Support hab ich auch schon Kontaktiert, die Antwort war, dass es eine HowTo-Frage sei. Sie würden nur Probleme bearbeiten, die vorher schon mal funktioniert hätten. Ich hab es eskalieren lassen und seit dem nichts mehr gehört! Danke Microsoft!

Ich hab nun den Richard Hicks mal angeschrieben, mal schauen...

Share this post


Link to post
Share on other sites

Moin,

 

ja, Microsofts Support arbeitet da wie viele andere Supportorganisationen. Anleitungen zur Ersteinrichtung bekommt man nicht. Manchmal ärgerlich, aber letztlich legitim.

 

Welche Pfade stehen denn im Zertifikat für die Sperrliste? Ist auch ein OCSP-URL hinterlegt? Möglicherweise arbeitet die Abfrage aus der Serverkomponente anders als die von certutil.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

In der Sperrliste stehen nur URLs drin, siehe:

[1]Aktuellste Sperrliste
     Name des Verteilungspunktes:
          Vollst. Name:
               URL=http://xxx.xxx.de/pki/XXXStammzertifizierung(1)+.crl

diese Adresse ist auch von extern und intern erreichbar und es wird auch das Sperrlistenzertifikat angezeigt.
 

Share this post


Link to post
Share on other sites

Moin,

 

auf die Schnelle habe ich leider keine Lösung für das CRL-Problem. Aber ein wichtiger Hinweis: Für dein Szenario ist das Sperren des Zertifikats i.d.R. nicht der richtige Weg bzw. das reicht nicht aus. Da eine Sperrliste immer eine Laufzeit hat, wird das Sperren eines Zertifikats immer eine längere Verzögerung bedeuten. Möchtest du einen Zertifikatsinhaber schnell aussperren (was hier ja das Szenario zu sein scheint), musst du das primär auf anderem Wege tun, also meist das Zugangskonto selbst sperren. Nur so sorgst du für eine schnelle Wirkung.

 

Zu der Fehlermeldung gibt es eine Reihe von Fundstellen im Web, geh die mal durch. Manchmal sind es simple Dinge wie ein falscher Authentifizierungsmodus auf dem Webserver.

 

Gruß, Nils

 

Edited by NilsK

Share this post


Link to post
Share on other sites

Befindet sich der RAS-Server hinter einem Proxy? Ist der Proxy mittels netsh für das System-Konto konfiguriert?

Für "zeitkritisch" immer einen Online Responder verwenden. Allerdings kann für die Sperrung auch nicht garantiert werden, wenn der nicht erreichbar ist.

Share this post


Link to post
Share on other sites

Hi Zahni,

 

der RAS Server steht im DMZ und geht auch nicht über einen Proxy. Der Internetzugriff ist auch blockiert. Es sind nur die Wege ins Interne Netz offen, wie z.B. zur CA und den internen Servern.

 

DMZ: RASServer -> Firewall -> Firewall -> Internes Netz: CA Server

Share this post


Link to post
Share on other sites

Du hast geschrieben, dass die CRL von intern und extern erreichbar ist. Daher habe ich vermutet, dass die CRL irgendwo extern steht. Oder hat die CRL-URL intern eine andere IP-Adresse als extern?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...