fundave3
Goto Top

Ausgestelltes Zertifikat wiederrufen

Guten Abend zusammen,

ich habe mal eine kurze Frage.
Zur WLAN Authentifizierung habe ich ein Freeradius Server mit EAP-TLS Zertifikaten und einer CA erstellt.
ICh habe nun mittels openssl CA mehrere Client Zertifikate ausgestellt.
Was mache ich nun , wenn ich diese ZErtifikate sperren möchte bzw. nicht mehr vertrauen möchte ?
z.B wenn ein Gerät gestohlen wurde. Ja ist etwas markant aber rein theoretisch ?

Vielen Dank

Content-ID: 391123

Url: https://administrator.de/forum/ausgestelltes-zertifikat-wiederrufen-391123.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

129580
129580 30.10.2018 um 20:46:43 Uhr
Goto Top
Guten Abend,

deine PKI muss eine Zertifikatsperrliste (CRL) bereitstellen, auf die dann der FreeRadius Server zugreifen kann. Wenn du ein Zertifikat widerrufst, dann wird die Seriennummer des Zertifikats in die Liste hinterlegt.

Wenn nun eine WLAN Authentifizierung erfolgt, prüft der FreeRadius diese CRL und wenn die Seriennummer in dieser Liste vorhanden ist, verweigert er die Authentifizierung.

Viele Grüße,
Exception
Spirit-of-Eli
Spirit-of-Eli 30.10.2018 um 20:46:44 Uhr
Goto Top
Moin,

Na das Zertifikat über die ausstellende CA sperren.
Natürlich bringt dies nur was, wenn die Clients die Sperrliste abfragen oder die CA dies bedingt.

Gruß
Spirit
fundave3
fundave3 31.10.2018 aktualisiert um 21:00:01 Uhr
Goto Top
Guten Abend,

Hmm das stimmt.
Wäre so ähnlich wie ocsp stapling, da der Server das ja prüfen soll oder ?
Aber der Freeradius muss dieses ja dann Prüfen. Gibt es dafür ebenfalls einen Parameter ?
In der eap.conf ist was beschrieben.

Muss ich dafür dann eine neue CA bauen ?In der openssl cnf steht kein Eintrag drin. Oder reicht es eine crl Liste zu erstellen ?

Also so ?
 echo -ne '00' > crl_list  
openssl ca -gencrl -out crl.pem


ICh habe mir eine Zertifikat Index Datei erstellt. Dort stehen tatächlich Nummern drin, allerdings finde ich etwas merkwürdig warum da immer unknown steht. Müsste da nicht meine CA Stehen ?
cert12


Vielen Dank

fundave3
129580
129580 31.10.2018 um 20:59:37 Uhr
Goto Top
Muss ich dafür dann eine neue CA bauen ?

Nein musst du nicht. Gibt zahlreiche Tutorials im Netz, wo das wunderschön erklärt wird.

Zum Beispiel:
https://access.redhat.com/documentation/en-us/red_hat_update_infrastruct ...
https://jamielinux.com/docs/openssl-certificate-authority/certificate-re ...