Jump to content
shoty

Zertifikat Sperrlisten können nicht abgerufen werden

Recommended Posts

Zitat

Einfach Zertifikat ohne CRL erstellen

Guter Plan, ich kann auch gleich den RAS Server ausschalten, dann hab ich auch nicht mehr das Problem :aetsch2:

 

Zitat

Am besten mit Wireshark tracen warum der RAS Server keine Verbindung zum abruf der Sperrlisten aufbauen kann.

Hab ich auch schon gemacht, das merkwürdige dabei, ich sehe keine Anfragen, das der RAS Server überhaupt versucht die CRLs Richtung CA Server abzufragen!? 

Zitat

Du hast geschrieben, dass die CRL von intern und extern erreichbar ist. Daher habe ich vermutet, dass die CRL irgendwo extern steht. Oder hat die CRL-URL intern eine andere IP-Adresse als extern?

Die CRL ist von extern über einen Reverse Proxy erreichbar, der es dann nach intern zur CA weiterleitet. Die IP, bzw. der Name ist intern sowie extern gleich.

Share this post


Link to post
Share on other sites
vor 14 Stunden schrieb NorbertFe:

Und wie sperrt er dann Zertifikate? ;)

Bei MS VPN gibts ja eh nur ein Zertifikat, da macht man einfach ein neues. Oder kann man bei AlwaysOn auch noch Computerkonten sperren?

Gegen Computerdiebstahl gibts Bitlocker.

Edited by xrated2

Share this post


Link to post
Share on other sites
vor 58 Minuten schrieb shoty:

Die CRL ist von extern über einen Reverse Proxy erreichbar, der es dann nach intern zur CA weiterleitet. Die IP, bzw. der Name ist intern sowie extern gleich.

Du hast den DNS-Namen also intern mit einer anderen IP-Adresse registriert? Bei einem Reverse-Proxy ist die interne IP natürlich nicht mit der externen IP-Adresse identisch.

Im Übrigen empfehle ich bei VPN  auf eine 2-Faktor Authentifizierung zu setzen. Dann ist der Windows-RAS-Dienst, meine ich, eh raus.

Eine gute Möglichkeit sind RSA SecurID Token und ein VPN-Server/Client der dies unterstützt. Lösungen gibt es z.B. von https://www.ncp-e.com/de/

Share this post


Link to post
Share on other sites

Die interne IP ist natürlich eine andere wie die externe. Das sollte aber meines Wissens kein Problem sein, da ich hier mit dem dns Namen in der Sperrliste arbeite.

Den Client kenne ich, kostet aber nicht ganz wenig!

Share this post


Link to post
Share on other sites

Ich hab den Fehler gefunden.

Wenn man bei dem Thumprint auch den richtigen Fingerabdruck der Stammzertifizierung einträgt, funktioniert die Sache auch sauber!!

 

$Thumbprint = ‘Root CA Certificate Thumbprint
$RootCACert = (Get-ChildItem -Path cert:\LocalMachine\root | Where-Object {$_.Thumbprint -eq $Thumbprint})
Set-VpnAuthProtocol -RootCertificateNameToAccept $RootCACert -PassThru

New-ItemProperty -Path ‘HKLM:\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ikev2\’ -Name CertAuthFlags -PropertyTYpe DWORD -Value ‘4’ -Force

Restart-Service RemoteAccess -PassThru

 

Danke für eure Hilfe...

Share this post


Link to post
Share on other sites
vor einer Stunde schrieb xrated2:

Bei MS VPN gibts ja eh nur ein Zertifikat, da macht man einfach ein neues. Oder kann man bei AlwaysOn auch noch Computerkonten sperren?

Gegen Computerdiebstahl gibts Bitlocker.

Also bei uns hat jeder Computer eins. ;) aber ich nutze auch direct Access.

Share this post


Link to post
Share on other sites

Ja da war doch irgendwas das bei AlwaysOn und DirectAccess zusätzlich das Computerkonto angemeldet wird, habe leider kein Windows Enterprise und deswegen die Sparversion nehmen müssen.

Das einzige was da der Client braucht ist das CA Zertifikat. Und da macht CRL nicht viel Sinn.

Share this post


Link to post
Share on other sites

Always on kann meines Wissens nach auch mit anderen herstellerprodukten verwendet werden bzw. Kann auch der User Zertifikate verwenden. Auch dort gibts dann mehr als das Zertifikat des Servers.

Share this post


Link to post
Share on other sites

Der Geräte Tunnel läuft afaik nur mit Entprise oder Education und das macht ja letztendlich Always On oder Direct Access aus. Das läuft über Ikev2

Fremd VPN steht was von VPN Server wie Cisco. Beim Client hat man mit SSTP nicht viel Auswahl.

 

Wenn man ein Userzertifikat erstellt wo weißt man das denn dem User zu? Im RAS Manager steht bei mir nur das https Zertifikat vom VPN Server selbst.

Und es geht nur entweder Userzertifikat oder Authentifizierung via Passwort über MsChapv2 oder?

Edited by xrated2

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...