Hallo zusammen,
im Router ist ein VPN definiert, bei dem ich über den flexiblen Identitätsvergleich mehrere Clients konfiguriert habe.
Sprich der Anfang des CN ist immer zB "NB_EXT_" und dahinter kommt der Kürzel des Mitarbeiters, dem der Rechner zugeordnet ist.
Funktioniert alles prima.
Jetzt kommt die Frage auf bei der ich nen Knoten im Hirn hab:
Wenn einem MA das Gerät abhanden kommt, möchte ich dem natürlich den VPN Zugang sperren.
Reicht es dazu aus, das entsprechende Client Zertifikat im XCA zu sperren, die pfx zu exportieren, rein in den Router und ab da ist das Client Zertifikat dann ungültig?
Ist es wirklich so einfach?
Sorry, wenn ich so blöd frage...
S.
VPN - Zertifikate zurückziehen vs. flexiblerer Identitätsvergleich
Moderator: Lancom-Systems Moderatoren
-
- Beiträge: 160
- Registriert: 08 Jul 2022, 12:53
- Wohnort: Aachen
Re: VPN - Zertifikate zurückziehen vs. flexiblerer Identitätsvergleich
Hallo firefox_i,
Für diesen Einsatz, bei flexiblem Identitätsvergleich, nimmt man entweder CRLs oder OSCP. Beides kann das LCOS im VPN.
Das geht problemlos.
Der einfachste Weg bei Dir ist wohl:
1) XCA generiert Dir eine CRL, die Du auf einen beliebigen Webserver legst
2) CRL-Client im LCOS holt sich regelmäßig die CRL vom Server
Bei jedem VPN-Aufbau prüft das LCOS gegen die lokale CRL und lehnt die Zertifikate ab, die auf der CRL stehen.
Viele Grüße,
Frühstücksdirektor
Für diesen Einsatz, bei flexiblem Identitätsvergleich, nimmt man entweder CRLs oder OSCP. Beides kann das LCOS im VPN.
Das geht problemlos.
Der einfachste Weg bei Dir ist wohl:
1) XCA generiert Dir eine CRL, die Du auf einen beliebigen Webserver legst
2) CRL-Client im LCOS holt sich regelmäßig die CRL vom Server
Bei jedem VPN-Aufbau prüft das LCOS gegen die lokale CRL und lehnt die Zertifikate ab, die auf der CRL stehen.
Viele Grüße,
Frühstücksdirektor
Re: VPN - Zertifikate zurückziehen vs. flexiblerer Identitätsvergleich
du kannst auch einen crl check einrichten...
falls es noch leichter gehen soll
Zertifikate > CRL-Client
-- edit Herr Direktor waren schneller
falls es noch leichter gehen soll
Zertifikate > CRL-Client
-- edit Herr Direktor waren schneller

Re: VPN - Zertifikate zurückziehen vs. flexiblerer Identitätsvergleich
Danke euch beiden.
Meine Zertifikate (ich erstelle die in XCA) haben momentan keinen Eintrag für die location der CRL.
Mal angenommen ich lass die weiterhin leer, dann kann ich doch über die "Alternative URLs" im CRL-Client dann die URL zu den CRL im Intranet angeben, korrekt ?
Warum ich frage:
- ich brauch an den Zertifikaten erstmal nix ändern
- ich kann dennoch zurückrufen
Denn - falls ich es richtig verstehe - wenn ich im Zertifikat einen CDP angebe, dann muss dieser auch erreichbar sein, denn wenn die CRL nicht verfügbar ist (weil eben nur bei mir lokal gehostet), dann wird das Zertifikat nicht als gültig gewertet.
Hab ich doch so richtig verstanden oder?
Ich mein momentan habe ich noch kein Problem, ich habe genügend Zertifikatsspeicher im Router (9 Stück) und ich brauche derzeit nur 4, von daher ist es momentan recht easy, die Zertifikate zu sperren.
Will nur für die Zukunft gewappnet sein.
Nachtrag:
Kaum losgeschickt schwirrt ein Gedanke in den Kopf...
Wann wird denn das Zertifikat geprüft und von wem?
Vor allem bei OCSP...nehmen wir mal an, ein Client in der schönen weiten Welt versucht eine Verbindung aufzubauen.
Da kann doch nur der Router, der das Verbindungsziel ist prüfen oder?
Also würde ich annehmen, dass der Client erst mal ne Verbindung aufbaut, aber der Router dann feststellt, dass der OCSP Server sagt "Du nö, dein Zertifikat wurde zurückgezogen und du darfst nimmer...ciao".
Und bei einer CRL ist eben auch die Frage.
Macht das der VPN Advanced Client auf dem Laptop oder macht das auch der Router und sagt "okay. Dein Zertifikat hat die Serienummer soundso, und das wurde gesperrt. schönen Tag noch" ?
Meine Zertifikate (ich erstelle die in XCA) haben momentan keinen Eintrag für die location der CRL.
Mal angenommen ich lass die weiterhin leer, dann kann ich doch über die "Alternative URLs" im CRL-Client dann die URL zu den CRL im Intranet angeben, korrekt ?
Warum ich frage:
- ich brauch an den Zertifikaten erstmal nix ändern
- ich kann dennoch zurückrufen
Denn - falls ich es richtig verstehe - wenn ich im Zertifikat einen CDP angebe, dann muss dieser auch erreichbar sein, denn wenn die CRL nicht verfügbar ist (weil eben nur bei mir lokal gehostet), dann wird das Zertifikat nicht als gültig gewertet.
Hab ich doch so richtig verstanden oder?
Ich mein momentan habe ich noch kein Problem, ich habe genügend Zertifikatsspeicher im Router (9 Stück) und ich brauche derzeit nur 4, von daher ist es momentan recht easy, die Zertifikate zu sperren.
Will nur für die Zukunft gewappnet sein.
Nachtrag:
Kaum losgeschickt schwirrt ein Gedanke in den Kopf...
Wann wird denn das Zertifikat geprüft und von wem?
Vor allem bei OCSP...nehmen wir mal an, ein Client in der schönen weiten Welt versucht eine Verbindung aufzubauen.
Da kann doch nur der Router, der das Verbindungsziel ist prüfen oder?
Also würde ich annehmen, dass der Client erst mal ne Verbindung aufbaut, aber der Router dann feststellt, dass der OCSP Server sagt "Du nö, dein Zertifikat wurde zurückgezogen und du darfst nimmer...ciao".
Und bei einer CRL ist eben auch die Frage.
Macht das der VPN Advanced Client auf dem Laptop oder macht das auch der Router und sagt "okay. Dein Zertifikat hat die Serienummer soundso, und das wurde gesperrt. schönen Tag noch" ?
-
- Beiträge: 160
- Registriert: 08 Jul 2022, 12:53
- Wohnort: Aachen
Re: VPN - Zertifikate zurückziehen vs. flexiblerer Identitätsvergleich
Hallo,
wenn Du die statische CRL-Konfiguration benutzt, muss die CRL-Information nicht im Zertifikat stehen. Die bestehenden Zertifikate musst Du also nicht anpassen. Das wertet das LCOS dann nicht aus.
Maßgeblich ist, was von der konfigurierten URL abgeholt wird.
Nur beim Verbindungsaufbau prüft das LCOS, d.h. hier die Zentrale, das sich einwählende Zertifikat gegen die CRL-Liste.
Auf dem Client muss man CRL nicht verwenden im ersten Schritt. Wenn auch der Client die CRL prüfen soll, muss das dort zusätzlich eingerichtet werden. Das kannst Du Dir im VPN-Status/ VPN-Debug-Trace ansehen, was da passiert.
Die CRL-Prüfung kann man pro VPN-Gegenstelle schalten.
OCSP funktioniert nach dem gleichen Prinzip.
Viele Grüße,
Frühstücksdirektor
wenn Du die statische CRL-Konfiguration benutzt, muss die CRL-Information nicht im Zertifikat stehen. Die bestehenden Zertifikate musst Du also nicht anpassen. Das wertet das LCOS dann nicht aus.
Maßgeblich ist, was von der konfigurierten URL abgeholt wird.
Nur beim Verbindungsaufbau prüft das LCOS, d.h. hier die Zentrale, das sich einwählende Zertifikat gegen die CRL-Liste.
Auf dem Client muss man CRL nicht verwenden im ersten Schritt. Wenn auch der Client die CRL prüfen soll, muss das dort zusätzlich eingerichtet werden. Das kannst Du Dir im VPN-Status/ VPN-Debug-Trace ansehen, was da passiert.
Die CRL-Prüfung kann man pro VPN-Gegenstelle schalten.
OCSP funktioniert nach dem gleichen Prinzip.
Viele Grüße,
Frühstücksdirektor