Discussion:
CRL über HTTPS
(zu alt für eine Antwort)
Anastasia Wickels
2009-11-16 14:04:57 UTC
Permalink
Hallo NG´ler,

ich habe einen TMG für den VPN Zugriff via L2TP/IPSec mit Zertifikaten
konfiguriert.

Die CA kann von extern nur über HTTPS erreicht werden, um ein
Zertifikat zu beantragen. Dazu habe ich eine Web Regel mit HTTPS
Listener erstellt, die aber nach intern mit der CA über HTTP Port 80
kommuniziert. Der User, der von extern ein Zertifikat beantragen
möchte, muss sich mit seinem Account anmelden, dann kann er ein
Zertifikat beantragen. Soweit so gut.

Probleme macht scheinbar in diesem Zusammenhang die CRL:

Die CRL Datei kann von extern explizit über HTTPS und Login angesehen
werden. In der Liste sehe ich z.B., dass eingetlich mein Zertifikat an
der CA gesperrt ist, doch der VPN Login funktioniert immer noch.

Kann es sein, dass die CRL nur über HTTP zur Verfügung stehen darf,
wie im Pad unter CRL Distibution Point eingetragen? Dann muss ich noch
eine Web Regel mit HTTP Listener installieren oder wie kann ich das
Problem lösen?

Danke für Eure Tipps.

Viele Grüße, Anastasia
Anastasia Wickels
2009-11-16 14:10:10 UTC
Permalink
Kleiner Nachtrag, vielleicht ist das wichtig:

Die CRL wird auf der CA stündlich aktualisiert. Die Delta CRL Funktion
ist deaktiviert.
Jens Baier
2009-11-16 14:24:14 UTC
Permalink
Hi,
Post by Anastasia Wickels
Die CRL wird auf der CA stündlich aktualisiert. Die Delta CRL Funktion
ist deaktiviert.
uups,. ist das Absicht? Das kann aber sehr viel Traffic erzeugen!
Evtl. auch mal ueber OCSP nachdenken?!
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Anastasia Wickels
2009-11-16 14:39:42 UTC
Permalink
Post by Jens Baier
Hi,
uups,. ist das Absicht? Das kann aber sehr viel Traffic erzeugen!
Wenn z.B. ein Notebook mit VPN Zertifikat gestohlen werden sollte,
möchten wir gerne zeitnah Account und Zertifikat sperren. Das nützt
natürlich nur dann was, wenn die CRL regelmäßig und in kurzen
Abständen aktuell ist, damit dort das gesperrt Zertifikat aufgeführt
wird und der Client sich nicht mehr einwählen kann, oder sehe ich das
falsch?
Post by Jens Baier
Evtl. auch mal ueber OCSP nachdenken?!
Okay, und was ist mit HTTP vs. HTTPS in der Web Regel für die PKI?
Kann in dieser Konstruktion die CRL nicht vom Client ausgelesen
werden?

Viele Grüße, Anastasia
Anastasia Wickels
2009-11-16 14:46:51 UTC
Permalink
Mal ne grundlegende Frage an die Experten, die sozusagen täglich mit CA
´s zu tun haben:

Macht es überhaupt Sinn die CA von extern über HTTPS laufen zu lassen
oder reicht auch das unverschlüsselte HTTP?
Jens Baier
2009-11-16 15:03:13 UTC
Permalink
Hi,
Post by Anastasia Wickels
Macht es überhaupt Sinn die CA von extern über HTTPS laufen zu lassen
oder reicht auch das unverschlüsselte HTTP?
es reicht auch HTTP.
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Jens Baier
2009-11-16 15:02:47 UTC
Permalink
Hi,
Post by Anastasia Wickels
Wenn z.B. ein Notebook mit VPN Zertifikat gestohlen werden sollte,
möchten wir gerne zeitnah Account und Zertifikat sperren. Das nützt
natürlich nur dann was, wenn die CRL regelmäßig und in kurzen
Abständen aktuell ist, damit dort das gesperrt Zertifikat aufgeführt
wird und der Client sich nicht mehr einwählen kann, oder sehe ich das
falsch?
ne, da liegst Du nicht falsch, aber gaenige Praxis sind so kurze
Veroeffentlichungsintervalle der kompletten CRL nicht und der Account ist ja
danns chon deaktiviert, so dass nur ggfs. mit dem Zertifikat Schindluder
betrieben werden kann und dafuer hast Du ja Bitlocker
Post by Anastasia Wickels
Okay, und was ist mit HTTP vs. HTTPS in der Web Regel für die PKI?
Kann in dieser Konstruktion die CRL nicht vom Client ausgelesen
werden?
ja, das kann sie aber auch, da die CRL ja im Klartext auf der MAschine
liegt, mit oder ohne HTTPS und in die CRL soll man ja auch reingucken
koennen.
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Anastasia Wickels
2009-11-16 15:19:42 UTC
Permalink
Post by Jens Baier
ja, das kann sie aber auch, da die CRL ja im Klartext auf der MAschine
liegt, mit oder ohne HTTPS und in die CRL soll man ja auch reingucken
koennen.
Die URL bei CRL Distribution Point beinhaltet den internen FQDN, der
von extern nicht erreichbar ist.
Wann wird denn die CRL mit dem internen Pfad zur CA ausgelesen? Vor
oder nach dem Login des Users?
Jens Baier
2009-11-16 16:15:46 UTC
Permalink
Hi,
Post by Anastasia Wickels
Die URL bei CRL Distribution Point beinhaltet den internen FQDN, der
von extern nicht erreichbar ist.
jau, aber bei der Webserververoeffentlichung erledigt das der Link
Translation Filter fuer Dich
Post by Anastasia Wickels
Wann wird denn die CRL mit dem internen Pfad zur CA ausgelesen? Vor
oder nach dem Login des Users?
wenn ein Zertifikat fuer den VPN Verbindungsaufbau verwendet wird ist es ja
ein Computerzertifikat, so dass das ZErtifikat vor der Anmeldung des
Benutzers gegen die CRL geprueft wird
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Anastasia Wickels
2009-11-17 10:58:38 UTC
Permalink
Post by Jens Baier
Hi,
jau, aber bei der Webserververoeffentlichung erledigt das der Link
Translation Filter fuer Dich
OK
Post by Jens Baier
wenn ein Zertifikat fuer den VPN Verbindungsaufbau verwendet wird ist es ja
ein Computerzertifikat, so dass das ZErtifikat vor der Anmeldung des
Benutzers gegen die CRL geprueft wird
Auch verstanden. Danke für die Infos!

Habe die Revoke Werte auf 1 day und Delta auf 8 Stunden gestellt -
besser?

Habe noch eine Frage:

Versuche mit CMAK auf dem Client unter Windows 7 das Stammzertifikat
automatisch zu installieren, doch der Befehl "certmgr -add -c vpn-
ca.cer -s -r localMachine root" funktioniert leider nicht, trotz
Ausführens als Administrator.

Wenn ich den Befehl in der Kommandozeile ausführe, öffnet sich nur das
Zertifikat Fenster zum Current User und nichts passiert.

Habt Ihr dazu einen Tipp?

Danke und viele Grüße, Anastasia
Jens Baier
2009-11-17 12:07:02 UTC
Permalink
Hi,
Post by Anastasia Wickels
Habe die Revoke Werte auf 1 day und Delta auf 8 Stunden gestellt -
besser?
viel besser> Wenn ich den Befehl in der Kommandozeile ausführe, öffnet sich
nur das
Post by Anastasia Wickels
Zertifikat Fenster zum Current User und nichts passiert.
certutil -addstore sollte die richtige Option sein.

Gruss Jens
www.nt-faq.de
www.it-training-grote.de
www.forefront-tmg.de
Anastasia Wickels
2009-11-17 12:38:19 UTC
Permalink
Post by Jens Baier
Hi,
certutil -addstore sollte die richtige Option sein.
vielen Dank, das war der richtige Befehl!

Viele Grüße, Anastasia
Anastasia Wickels
2009-11-17 14:36:09 UTC
Permalink
Windows 7: Stammzertifikat per CMAK ausrollen, geht nur, wenn der
Administrator angemeldet ist.

Wenn ein anderer User (auch Mitglied der lokalen
Administratorengruppe) die VPN Clientsoftware installiert, dann wird
kein Zertifikat installiert. Es kommt aber auch kein Popup wg.
Berechtigungen oder so.

Runas fällt auch weg, da dann das Passwort für den Admin eingegeben
werden muss. Der User hat wahrscheinlich gar nicht das PW dazu.

Hm, wie könnte ich jetzt das Zertifikat per certutil am Client
automatisch installieren?

Hat jemand ein Idee?

Viele Grüße, Anastasia
Jens Baier
2009-11-17 16:11:54 UTC
Permalink
Hi,
Post by Anastasia Wickels
Windows 7: Stammzertifikat per CMAK ausrollen, geht nur, wenn der
Administrator angemeldet ist.
ja, da es in den lokalen Certspeicher der Maschine kommt, brauchst Du lokale
Administrator Berechtigungen
Post by Anastasia Wickels
Wenn ein anderer User (auch Mitglied der lokalen
Administratorengruppe) die VPN Clientsoftware installiert, dann wird
kein Zertifikat installiert. Es kommt aber auch kein Popup wg.
Berechtigungen oder so.
das sollte aber ausreichen mit lokalen Adminrechten
Post by Anastasia Wickels
Runas fällt auch weg, da dann das Passwort für den Admin eingegeben
werden muss. Der User hat wahrscheinlich gar nicht das PW dazu.
bliebe noch CPAU oder SteelRunAs!
Post by Anastasia Wickels
Hm, wie könnte ich jetzt das Zertifikat per certutil am Client
automatisch installieren?
ueber diesen Weg mit lokalen Administrator Berechtigungen! Sid die Clients
nicht Mitglied der Domaene? Wenn ja, dann wird das Root CA Zertifikat
automatisch installiert.

Gruss Jens
www.nt-faq.de
www.it-training-grote.de
www.forefront-tmg.de
Anastasia Wickels
2009-11-18 09:04:38 UTC
Permalink
Post by Jens Baier
Hi,
Post by Anastasia Wickels
Wenn ein anderer User (auch Mitglied der lokalen
Administratorengruppe) die VPN Clientsoftware installiert, dann wird
kein Zertifikat installiert. Es kommt aber auch kein Popup wg.
Berechtigungen oder so.
das sollte aber ausreichen mit lokalen Adminrechten
Reicht leider nicht aus, habe ich ausprobiert. User, der angemeldet
ist, ist definitv Mitglied der lokalen Admingruppe und trotzdem wird
kein Zertifikat installiert.
Post by Jens Baier
bliebe noch CPAU oder SteelRunAs!
Beide Tools bedingen die Eingabe bzw. das Wissen des lokalen Admin PW.
Dies hat, in der Regel, der User aber nicht.
Post by Jens Baier
ueber diesen Weg mit lokalen Administrator Berechtigungen! Sid die Clients
nicht Mitglied der Domaene? Wenn ja, dann wird das Root CA Zertifikat
automatisch installiert.
Es geht um Systeme von Kunden, die von extern per VPN zugreifen
dürfen. Die sind nicht Mitglied der Domäne und das Problem mit dem
lokalen Admin bleibt auch. Ich dachte, ich könnte auch auf diese
Systeme das Root Zertifikat mitausrollen, doch scheinbar scheitert das
an den Sicherheitseinstellungen von Windows 7. Hmm - any ideas?

Viele Grüße, Anastasia
Jens Baier
2009-11-18 09:35:55 UTC
Permalink
Hi,
Post by Anastasia Wickels
Beide Tools bedingen die Eingabe bzw. das Wissen des lokalen Admin PW.
Dies hat, in der Regel, der User aber nicht.
bei SteelrunAs wird das aber einmal erstellt und Du koenntest daraus eine
EXE machen, in der das Kennwort drin steht und das mit CMAL verteilen
Post by Anastasia Wickels
Es geht um Systeme von Kunden, die von extern per VPN zugreifen
dürfen. Die sind nicht Mitglied der Domäne und das Problem mit dem
lokalen Admin bleibt auch. Ich dachte, ich könnte auch auf diese
Systeme das Root Zertifikat mitausrollen, doch scheinbar scheitert das
an den Sicherheitseinstellungen von Windows 7. Hmm - any ideas?
hmm, gute Frage, muesste ich mal in einer ruhigen Minute selbst testen, das
kann aber dauern.
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Anastasia Wickels
2009-11-18 10:37:20 UTC
Permalink
Post by Jens Baier
Hi,
Post by Anastasia Wickels
Beide Tools bedingen die Eingabe bzw. das Wissen des lokalen Admin PW.
Dies hat, in der Regel, der User aber nicht.
bei SteelrunAs wird das aber einmal erstellt und Du koenntest daraus eine
EXE machen, in der das Kennwort drin steht und das mit CMAL verteilen
Sorry, auch hier meinte ich das Ausrollen auf fremden Systemen, also
kann ich kein Admin PW einbauen.
Post by Jens Baier
Post by Anastasia Wickels
Es geht um Systeme von Kunden, die von extern per VPN zugreifen
dürfen. Die sind nicht Mitglied der Domäne und das Problem mit dem
lokalen Admin bleibt auch. Ich dachte, ich könnte auch auf diese
Systeme das Root Zertifikat mitausrollen, doch scheinbar scheitert das
an den Sicherheitseinstellungen von Windows 7. Hmm - any ideas?
hmm, gute Frage, muesste ich mal in einer ruhigen Minute selbst testen, das
kann aber dauern.
Hm, das würde mich mal interessieren, ob es da evt. eine
domänenunabhängige Lösung gibt, also ohne Kenntnisse des lokalen Admin
PWs und ohne Mitgliedschaft unserer Domäne.

Viele Grüße, Anastasia

Jens Baier
2009-11-16 14:32:27 UTC
Permalink
Hi,
Post by Anastasia Wickels
Kann es sein, dass die CRL nur über HTTP zur Verfügung stehen darf,
wie im Pad unter CRL Distibution Point eingetragen? Dann muss ich noch
eine Web Regel mit HTTP Listener installieren oder wie kann ich das
Problem lösen?
meines Wissenstands nach geht das CRL Publishing nur ueber HTTP/LDAP und
FILE. Habe es noch nie mit HTTPS probiert, ich denke aber, das HTTPS vom RFC
her nicht funktioniert, muesstest Du mal nachsehen und ja, dann musst Du die
CRL ueber HTTP publishen.
http://www.isaserver.org/tutorials/Publishing-Public-Key-Infrastructure-ISA-Server-2004-Part3.html
Fuer mehr Sicherheit solltest Du dann OCSP verwenden, aber das wird noch
nicht von allen Clients / Appliaktionen unterstuetzt
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Loading...