SCEP-CA schreibt falschen Verteilungspunkt (Distribution-Point) in die Zertifikate

LCOS/LCMS Release Update Betatest: Um den Benutzern des LANCOM-Forum.de schon vor der finalen Freigabe eines Release Update die Möglichkeit zu geben gemeldete Fehler und Verbesserungen zu testen, wird dieser Bereich ins Leben gerufen. Hier werden nun in regelmäßigen Abständen neue LCOS und LCMS Versionen als Betatest-Varianten abgelegt.

Wichtig, bitte beachten: Rückmeldungen zu den Versionen sind im Forum sehr willkommen, aber bitte auch nur ausschliesslich im Forum. Bitte keine Fragen zu den hier angebotenen Vorabversionen direkt an den LANCOM Support stellen!

Moderator: Lancom-Systems Moderatoren

Antworten
Fully
Beiträge: 97
Registriert: 19 Apr 2007, 13:40
Kontaktdaten:

SCEP-CA schreibt falschen Verteilungspunkt (Distribution-Point) in die Zertifikate

Beitrag von Fully » 18 Jun 2019, 16:26

Moin,

Die SCEP-CA schreibt einen falschen Verteilungspunkt (Distribution-Point) in die Zertifikate.

Voraussetzung:
a) CRL ist aktiviert,
b) CA ist ungleich Lancom-Systems,
c) Daten unter "Certificate-Revocation-Lists" sind ungleich default.

Gegeben sind folgende Daten zur CRL:

Code: Alles auswählen

CRL-Distribution-Point-Hostname  VALUE:   "Hostname.Domain.de"
CRL-Update-Interval              VALUE:   86400
Protocol                         VALUE:   HTTPS

Die CA trägt dann in ein Zertifikat folgenden Verteilungspunkt ein:

Code: Alles auswählen

http://Hostname.Domain.de//crl/current.crl
Fehlerhaft sind hier sowohl das Protokoll, als auch das "//" vor crl/current.crl

Unter diesem Verteilungspunkt kann die CRL erwartungsgemäß nicht abgerufen werden, in der CRL-Liste steht:

Code: Alles auswählen

http://Hostname.Domain.de//crl/current.crl   HTTPC_PROT_ERR
Die CRL selbst kann aber sehr wohl unter den korrekten Verteilungspunkten erreicht werden:

Code: Alles auswählen

https://Hostname.Domain.de/crl/current.crl
oder
https://172.16.100.242/crl/current.crl
Die CRL wird also wie gewünscht angelegt. Der Fehler passiert beim Übertrag in das Zertifkiat, wobei es egal ist, ob unter "Protocol" http oder https angegeben wird. Der Fehler wird bei https nur umfassender.

Das Problem besteht mindestens in den Betas 146 und 151 der 10.30. Möglicherweise besteht es schon länger. Die letzte Version, bei der ich sicher eine korrekte CRL im Zertifikat nachvollziehen kann, ist die 10.20.0336. Kann das jemand bestätigen? Mich wundert, dass es erst jetzt auffällt.
Mir ist es bisher nie aufgefallen, weil ich seit Urzeiten immer die CRL direkt als alternative URL eingetragen habe. Damit wird bei gleicher CA der Fehler lokal überdeckt und nur eine CRL gelistet. Im Zertifikat ist der Verteilungspunkt natürlich weiterhin falsch.
Damit mault etwa der NCP-VPN-Client zurecht an der CRL rum.

Gruß Fully

Antworten
  • Vergleichbare Themen
    Antworten
    Zugriffe
    Letzter Beitrag

Zurück zu „Feedback LCOS Release Update Betatest“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste