VPN-Einwahl trotz gesperrtem Zertifikat

[Hollaridoh 10]

Hallo,

 

ich habe auf einem W2K3-E einen VPN-Server und eine Zertifizierungsstelle eingerichtet und per RAS-Richtlinie definiert, dass sich nur Benutzer mit Zertifikat einwählen dürfen. Wenn ich jetzt den Client entsprechend konfiguriere und ohne Zertifikat versuche, eine Verbindung aufzubauen, dann wird diese aufgrund eines fehlenden Zertifikates abgelehnt. Fordere ich dann über die certsrv-Seite des Zertifizierungsservers ein Zertifikat an und installiere dies, dann kommt die Verbindung zustande. Soweit korrekt...

Wenn ich jetzt aber in der Zertifizierungsstelle das Zertifikat sperre, dann ist auch weiterhin eine Einwahl möglich. Scheinbar prüft nur der Client, ob er ein Zertifikat hat, nicht der Server ob dieses gültig ist.

Kann mir jemand sagen, woran das liegt?

 

Schonmal besten Dank,

Grüße,

Hollaridoh

[grizzly999 11]

Hi und willkommen hier :)

 

Frage: Von welcher Art Zertifikat sprechen wir, von einem Benutzerzertifikat oder einem Computerzertifikat?

 

grizzly999

[Hollaridoh 10]

Hallo und Danke! :-)

 

Von einem Benutzerzertifikat.

[grizzly999 11]

Ah. ok.

Nun es ist so, dass der VPN-Server für das Zertifikat die Zertifikatskette bis zum Rootzertifikat bildet und auch beim ersten mal die Sperrlisten bis zur obersten Sperrliste abruft.

Die Sperrliste(n) speichert der Rechner - hier der VPN-Server - für die Dauer ihrer Gültigkeit in einem geschützten Speicherbereich. Danach ruft er die Sperrliste, selbst wenn eine Neue veröffentlicht wird, nicht mehr ab, bis sie abgelaufen ist, sondern prüft in der Zeit immer gegen die gecachte noch gültige Version . Wenn du alles standardmäßig installiert hast, ist das eine Woche. Dieser "Cache" lässt sich bei Microsoft nicht beeinflußen, weder per GUI, noch mit einem Kommandozeilen-Tool.

Also, entweder warten bis die Liste abgelaufen ist, oder den User-Acount selber solange sperren, oder solange eine Verweigern-RAS-Richtlinie für diesen User eirichten.

 

grizzly999

[Hollaridoh 10]

Hallo grizzly999,

 

vielen Dank für die Antwort und die ausführliche Erklärung.

 

Aber besonders sinnvoll ist dieser Prozess von MS ja dann nicht gerade umgesetzt...

Dann ist es zumindest auch nicht unsicherer, nur ein Zertifikat für alle Benutzer auszustellen, bei "Diebstahl" hätte ja der "Dieb" immerhin eine Woche Zeit, per Brute Force Zugangsmöglichkeiten auszuprobieren. Muss man nicht verstehen, oder?

 

Trotzdem Dir nochmals vielen Dank!

[grizzly999 11]

Das ist nicht nur bei Microsoft so, sondern allgemein. Offizielle Root CAs wie z.B. VeriSign veröffentlichen auch meist nur Sperrlisten nach einer Woche. Und solange müssen die natürlich gültig sein.

 

Dann ist es zumindest auch nicht unsicherer, nur ein Zertifikat für alle Benutzer auszustellen, bei "Diebstahl" hätte ja der "Dieb" immerhin eine Woche Zeit, per Brute Force Zugangsmöglichkeiten auszuprobieren

Doch ist es unsicherer, weil ich Benutzer nicht distinguieren kann.

Und:

1.) Braucht er das Zertifikat MIT samt dem privaten Schlüssel. Wenn er da rankommt, dann habe ich sowieso verloren

2.) Braucht er dann keine Brutforce Methoden, denn mit Zertifikatauthentifizierung werde ich bei der Einwahl nicht nach einem Kennwort gefragt. Mein Zertifikat ist der Authentifizierungsnachweis.

 

Aus Gründen eines möglichen Diebstahls ist deshalb nicht unbedingt das Zertifikat als solches empfohlen, sondern der Einsatz von SmartCard, wo der private Key geschützt durch einen Pin auf der Karte liegt ;)

 

grizzly999

[Hollaridoh 10]

OK, stimmt schon. Besten Dank!