Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Frage zu Zertifikaten unter w2k3

Mitglied: RedFaction
Hallo Leute,

hab da mal ne Frage zu Zertifikaten unter Windows 2003 Server.
Ich experimentiere derzeit mit VPN, und habe auf den Server eine Zertifizierungsstelle konfiguriert. Nun zwei Fragen, zum Einen kann ich irgendwie die Zertifikate die ich zum Testen erstellt habe wieder löschen, da sammeln sich einige an.

Und zweitens, wieso kann ich mich bei einer zertifikatsgestützten VPN Verbindung, nachdem ich das Zertifikat auf dem Server geblockt habe, trotzdem wieder einwählen. Dies ist erst dann nicht möglich wenn ich das Zertifikat am Client lösche.

Ich denke, das dies nicht der Richtige weg ist, die VPN Verbindung zu verbieten.

Danke schon mal für Eure Antworten

CU

Content-Key: 6948

Url: https://administrator.de/contentid/6948

Ausgedruckt am: 16.09.2021 um 12:09 Uhr

Mitglied: fritzo
fritzo 16.02.2005 um 00:27:46 Uhr
Goto Top
Hi,

ich habe leider momentan keine CA zur Hand, aber schau mal in der MMC unter "Ausgestellte Zertifikate". Ich bin mir zwar nicht sicher, ob man Certs auf einer CA überhaupt löschen kann (wenn, dann widerruft man sie normalerweise) - aber wenn, dann hier.

Grüße,
fritzo
Mitglied: RedFaction
RedFaction 16.02.2005 um 11:32:37 Uhr
Goto Top
Hi,

danke für die Antwort, aber leider kann ich in der mmc der Zertifikate auf dem Server wie Du schon gesagt hast diese nur blocken, bzw ablösen. Das ist zwar soweit schon OK, aber gerade durch meine Test, sammeln sich einige nicht benötigte Zertifikate an.
Ich würde halt gerne mal ein bisschen Ordnung reinbringen.

Nun gut, das soll aber nicht das Problem sein. Wichtiger ist mir da der zweite Teil meiner Frage. Wenn da einer eine Antwort wüste, währe ich im sehr dankbar.

CU
Mitglied: fritzo
fritzo 16.02.2005 um 20:29:03 Uhr
Goto Top
Hi,

normalerweise kann sich ein Client mit einem Client-Cert, das auf dem Server "revoked" wurde, nicht mehr anmelden. Voraussetzung dafür ist, daß der Server so eingestellt ist, daß er Clients mit revoked certs explizit nicht mehr reinlässt.

Hast Du den Server evtl. so konfiguriert, daß er Clients trotz abgelaufenem Cert zulässt? Was verwendest Du denn, L2TP/IPSec? Evtl. wird die Verbindung bei einem ungültigen Cert nicht abgebrochen, sondern fällt zurück in den PPTP-Modus?

Grüße,
fritzo
Mitglied: RedFaction
RedFaction 17.02.2005 um 21:00:24 Uhr
Goto Top
Hi fritzo,

nochmal danke für Deine Hilfe, ich denke ich weiss woran es lag. Und zwar gibt der Server ja die Liste mit den geblockten und oder gesperten Zertifikaten in einen einstellbaren Zeitraum den Clients bekannt. Dieser stand bei mir auf eine Woche, daher hat die Sperrung nicht gegriffen, da ich es ja gleich im Anschluss probiert habe.
Nun kann das sein, sehe ich das richtig oder bringe ich da etwas durcheinander?
Wenn das Richtig ist, sollte es nicht möglich sein die Anmeldung eines Clients mit hilfe eines Zertifikates, sofort und auf der Stelle zu verweigern.

thx
Mitglied: fritzo
fritzo 17.02.2005 um 22:18:33 Uhr
Goto Top
Hi,

kann sein- wenn ja, ist das wahrscheinlich so, damit User noch eine Chance haben, ihre Certs zu erneuern. Was passiert, wenn Du den Wert verringerst?

Grüße,
fritzo
Mitglied: meinereiner
meinereiner 17.02.2005 um 22:31:57 Uhr
Goto Top
Ja, das sollte stimmen.
Ich entsinne mich gelesen zu haben, dass man eben diese Zeit bedenken muss, wenn man jemanden das zertifikat entziehen will.

Bei MS gibts da einen netten Artikel zum entwerfen einer PKI. Zwar in Verbinung mit Wireless, aber vielleicht auch so ganz interessant. Vielleicht interessiert es ja.. :-) face-smile


http://www.microsoft.com/germany/ms/security/guidance/modules/secmod170 ...
Mitglied: RedFaction
RedFaction 18.02.2005 um 21:58:14 Uhr
Goto Top
Hi,

thx

ich werde morgen ein paar Tests durchführen, und euch mal auf den laufenden halten,
was nun stand der Dinge ist.

cu
Mitglied: RedFaction
RedFaction 21.02.2005 um 09:41:53 Uhr
Goto Top
Hi,

also ich hab keine Ahnung wie es weiter gehen soll.
Ich kann die Zertifikate sperren so oft ich will, ich kann mich trotzdem mit dem gesperten Zertifikat anmelden. Weiter oben hies es das man die Anmeldung mit gesperten Zertifikaten
expliziet verweigern muss. Wo kann ich diese Einstellung den Vornehmen. In den Richtlinien für Routing und RAS habe ich nichts gefunden.

CU
Heiß diskutierte Beiträge
question
235 Prozent gelöscht! Panik!erikroVor 1 TagFrageHumor (lol)9 Kommentare

Moin, der Moment, in dem das Herz stehen bleibt, wenn man auf dem Server ein altes Profil löscht und diese Anzeige sieht: NEIN! HÖR AUF! ...

info
Israelische Sicherheitsfirma kauft im großen Stil VPN-AnbieterLochkartenstanzerVor 1 TagInformationErkennung und -Abwehr15 Kommentare

Moin, Weil viel hier meinen, sie nutzen einen VPN-Anbieter im Ausland, um sich vor den "Behörden" zu verstecken. Die israelische Sicherheitsfirma Kape Securities kauf im ...

question
CIS Härtung Server 2019BloodyRulzVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen, wie fange ich an?! So viele Fragen. Wir haben verschiedene WinServer2019 Maschinen. Diese sind alle stand-alone. Der Auftrag von unserem Kunden lautet, diese ...

question
Netzwerkstruktur für ein Unternehmen errichtennasir21Vor 1 TagFrageNetzwerke17 Kommentare

Hallo liebes Forum :) Ich habe eine Ausbildung zum Fachinformatiker für Systemintegration gestartet und nun auch meine erste, kleine Projektaufgabe erhalten. Die Aufgabenstellung lautet wie ...

question
Welcher Harddisk Typ und welches Raid in ServerMazenauerVor 23 StundenFrageServer-Hardware20 Kommentare

Grüezi zusammen Was würdet ihr - stand heute und jetzt - für einen Raid Typ erstellen und mit was für Disks? Wünschenswert wäre Ausfallsicherheit von ...

question
Drucker Gäste WLANmarkaurelVor 18 StundenFrageLAN, WAN, Wireless19 Kommentare

Hallo zusammen und bitte um eure Hilfe! Ich hab in einer kleinen Schule ein LAN aufgebaut. Mit der Zeit kam natürlich auch der Bedarf an ...

question
Virtualisierungsprojekt für die FacharbeitVentimonusVor 15 StundenFrageVirtualisierung14 Kommentare

Heyho, Ich habe mal ein paar fragen, bezüglich meines Abschlussprojektes, ob das alles überhaupt so Sinnig ist wie ich es mir denke. Kurz zur Erläuterung: ...

general
Backup "to go" für Laptops - wie macht ihr das? gelöst GrinskeksVor 1 TagAllgemeinBackup11 Kommentare

Hallo zusammen, ich frage mich gerade wie ihr das Thema Laptop und Backup angeht. Bei uns sollen nun einige Laptops angeschafft werden und ich tendiere ...