Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ausgestelltes Zertifikat wiederrufen

Mitglied: fundave3

fundave3 (Level 1) - Jetzt verbinden

30.10.2018 um 20:36 Uhr, 609 Aufrufe, 4 Kommentare

Guten Abend zusammen,

ich habe mal eine kurze Frage.
Zur WLAN Authentifizierung habe ich ein Freeradius Server mit EAP-TLS Zertifikaten und einer CA erstellt.
ICh habe nun mittels openssl CA mehrere Client Zertifikate ausgestellt.
Was mache ich nun , wenn ich diese ZErtifikate sperren möchte bzw. nicht mehr vertrauen möchte ?
z.B wenn ein Gerät gestohlen wurde. Ja ist etwas markant aber rein theoretisch ?

Vielen Dank

Mitglied: 129580
30.10.2018 um 20:46 Uhr
Guten Abend,

deine PKI muss eine Zertifikatsperrliste (CRL) bereitstellen, auf die dann der FreeRadius Server zugreifen kann. Wenn du ein Zertifikat widerrufst, dann wird die Seriennummer des Zertifikats in die Liste hinterlegt.

Wenn nun eine WLAN Authentifizierung erfolgt, prüft der FreeRadius diese CRL und wenn die Seriennummer in dieser Liste vorhanden ist, verweigert er die Authentifizierung.

Viele Grüße,
Exception
Bitte warten ..
Mitglied: Spirit-of-Eli
30.10.2018 um 20:46 Uhr
Moin,

Na das Zertifikat über die ausstellende CA sperren.
Natürlich bringt dies nur was, wenn die Clients die Sperrliste abfragen oder die CA dies bedingt.

Gruß
Spirit
Bitte warten ..
Mitglied: fundave3
31.10.2018, aktualisiert um 21:00 Uhr
Guten Abend,

Hmm das stimmt.
Wäre so ähnlich wie ocsp stapling, da der Server das ja prüfen soll oder ?
Aber der Freeradius muss dieses ja dann Prüfen. Gibt es dafür ebenfalls einen Parameter ?
In der eap.conf ist was beschrieben.

Muss ich dafür dann eine neue CA bauen ?In der openssl cnf steht kein Eintrag drin. Oder reicht es eine crl Liste zu erstellen ?

Also so ?
01.
 echo -ne '00' > crl_list
01.
openssl ca -gencrl -out crl.pem

ICh habe mir eine Zertifikat Index Datei erstellt. Dort stehen tatächlich Nummern drin, allerdings finde ich etwas merkwürdig warum da immer unknown steht. Müsste da nicht meine CA Stehen ?
cert12 - Klicke auf das Bild, um es zu vergrößern


Vielen Dank

fundave3
Bitte warten ..
Mitglied: 129580
31.10.2018 um 20:59 Uhr
Muss ich dafür dann eine neue CA bauen ?

Nein musst du nicht. Gibt zahlreiche Tutorials im Netz, wo das wunderschön erklärt wird.

Zum Beispiel:
https://access.redhat.com/documentation/en-us/red_hat_update_infrastruct ...
https://jamielinux.com/docs/openssl-certificate-authority/certificate-re ...
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Zertifikat Sicherheitshinweis
Frage von sk7519Exchange Server13 Kommentare

Hallo zusammen, ich habe aktuell ein Problem mit einer Sicherheitswarnung aufgrund eines abgelaufenen Zertifikats. Am Client ist Outlook 2016 ...

Windows Server
Unifi Zertifikat
Frage von Der.ITlerWindows Server5 Kommentare

Hallo Ihr, Ich habe den Unifi Controller auf einen von 8 Hyper-V Host ( pro Host 128GB RAM) insgesamt ...

Verschlüsselung & Zertifikate
Zertifikat Autoenrollment
Frage von flulukVerschlüsselung & Zertifikate5 Kommentare

Hallo, ich habe ein Problem beim ausrollen von Zertifikaten an User. Im Einsatz habe ich eine zweistufige PKI, bei ...

SAN, NAS, DAS
Synology Zertifikat
Frage von adrian138SAN, NAS, DAS5 Kommentare

Hallo zusammen, Wir haben einige Synos im Einsatz ca. 7stk. bei jedem Browserzugriff kommt die nervige "Diese Seite ist ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 1 TagWindows Installation9 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 2 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 3 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 4 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Server-Hardware
Hetzner Dedicated-Server für Terminalserver - RDSH 5 Benutzer gesucht
gelöst Frage von ra-user10Server-Hardware36 Kommentare

Hallo liebe IT-Fachleute! Ich möchte für unseren kleinen Betrieb einen Terminalserver aufsetzen und dafür das Angebot von Hetzner nutzen. ...

Switche und Hubs
PoE in erster und zweiter Instanz
Frage von moinmoin2016Switche und Hubs26 Kommentare

Moin. Ich habe versucht zum folgenden Sachverhalt ein Beitrag zu suchen, konnte aber nichts passendes finden. Folgender Sachverhalt: Ein ...

Hyper-V
Wie berechne ich mir die Anzahl der vCPU für HYPER-V aus?
Frage von samet22Hyper-V20 Kommentare

Hallo, bitte nicht schimpfen, ich habe mich nur selber gerade etwas verwirrt :D Wie berechne ich mir aus wieviele ...

Entwicklung
Powershell-Skript und Organisationseinheiten auskludieren
gelöst Frage von informatikkfmEntwicklung13 Kommentare

Hallo, ich habe ein Powershell-Skript, ähnlich wie das folgende. Ich möchte dabei, dass alle Benutzer unterhalb der OUs in ...