Die SCEP-CA schreibt einen falschen Verteilungspunkt (Distribution-Point) in die Zertifikate.
Voraussetzung:
a) CRL ist aktiviert,
b) CA ist ungleich Lancom-Systems,
c) Daten unter "Certificate-Revocation-Lists" sind ungleich default.
Gegeben sind folgende Daten zur CRL:
Code: Alles auswählen
CRL-Distribution-Point-Hostname VALUE: "Hostname.Domain.de"
CRL-Update-Interval VALUE: 86400
Protocol VALUE: HTTPS
Die CA trägt dann in ein Zertifikat folgenden Verteilungspunkt ein:
Code: Alles auswählen
http://Hostname.Domain.de//crl/current.crl
Unter diesem Verteilungspunkt kann die CRL erwartungsgemäß nicht abgerufen werden, in der CRL-Liste steht:
Code: Alles auswählen
http://Hostname.Domain.de//crl/current.crl HTTPC_PROT_ERR
Code: Alles auswählen
https://Hostname.Domain.de/crl/current.crl
oder
https://172.16.100.242/crl/current.crl
Das Problem besteht mindestens in den Betas 146 und 151 der 10.30. Möglicherweise besteht es schon länger. Die letzte Version, bei der ich sicher eine korrekte CRL im Zertifikat nachvollziehen kann, ist die 10.20.0336. Kann das jemand bestätigen? Mich wundert, dass es erst jetzt auffällt.
Mir ist es bisher nie aufgefallen, weil ich seit Urzeiten immer die CRL direkt als alternative URL eingetragen habe. Damit wird bei gleicher CA der Fehler lokal überdeckt und nur eine CRL gelistet. Im Zertifikat ist der Verteilungspunkt natürlich weiterhin falsch.
Damit mault etwa der NCP-VPN-Client zurecht an der CRL rum.
Gruß Fully