Anastasia Wickels
2009-11-16 14:04:57 UTC
Hallo NG´ler,
ich habe einen TMG für den VPN Zugriff via L2TP/IPSec mit Zertifikaten
konfiguriert.
Die CA kann von extern nur über HTTPS erreicht werden, um ein
Zertifikat zu beantragen. Dazu habe ich eine Web Regel mit HTTPS
Listener erstellt, die aber nach intern mit der CA über HTTP Port 80
kommuniziert. Der User, der von extern ein Zertifikat beantragen
möchte, muss sich mit seinem Account anmelden, dann kann er ein
Zertifikat beantragen. Soweit so gut.
Probleme macht scheinbar in diesem Zusammenhang die CRL:
Die CRL Datei kann von extern explizit über HTTPS und Login angesehen
werden. In der Liste sehe ich z.B., dass eingetlich mein Zertifikat an
der CA gesperrt ist, doch der VPN Login funktioniert immer noch.
Kann es sein, dass die CRL nur über HTTP zur Verfügung stehen darf,
wie im Pad unter CRL Distibution Point eingetragen? Dann muss ich noch
eine Web Regel mit HTTP Listener installieren oder wie kann ich das
Problem lösen?
Danke für Eure Tipps.
Viele Grüße, Anastasia
ich habe einen TMG für den VPN Zugriff via L2TP/IPSec mit Zertifikaten
konfiguriert.
Die CA kann von extern nur über HTTPS erreicht werden, um ein
Zertifikat zu beantragen. Dazu habe ich eine Web Regel mit HTTPS
Listener erstellt, die aber nach intern mit der CA über HTTP Port 80
kommuniziert. Der User, der von extern ein Zertifikat beantragen
möchte, muss sich mit seinem Account anmelden, dann kann er ein
Zertifikat beantragen. Soweit so gut.
Probleme macht scheinbar in diesem Zusammenhang die CRL:
Die CRL Datei kann von extern explizit über HTTPS und Login angesehen
werden. In der Liste sehe ich z.B., dass eingetlich mein Zertifikat an
der CA gesperrt ist, doch der VPN Login funktioniert immer noch.
Kann es sein, dass die CRL nur über HTTP zur Verfügung stehen darf,
wie im Pad unter CRL Distibution Point eingetragen? Dann muss ich noch
eine Web Regel mit HTTP Listener installieren oder wie kann ich das
Problem lösen?
Danke für Eure Tipps.
Viele Grüße, Anastasia