4
Ausgestelltes Zertifikat wiederrufen
Guten Abend zusammen,
ich habe mal eine kurze Frage.
Zur WLAN Authentifizierung habe ich ein Freeradius Server mit EAP-TLS Zertifikaten und einer CA erstellt.
ICh habe nun mittels openssl CA mehrere Client Zertifikate ausgestellt.
Was mache ich nun , wenn ich diese ZErtifikate sperren möchte bzw. nicht mehr vertrauen möchte ?
z.B wenn ein Gerät gestohlen wurde. Ja ist etwas markant aber rein theoretisch ?
Vielen Dank
ich habe mal eine kurze Frage.
Zur WLAN Authentifizierung habe ich ein Freeradius Server mit EAP-TLS Zertifikaten und einer CA erstellt.
ICh habe nun mittels openssl CA mehrere Client Zertifikate ausgestellt.
Was mache ich nun , wenn ich diese ZErtifikate sperren möchte bzw. nicht mehr vertrauen möchte ?
z.B wenn ein Gerät gestohlen wurde. Ja ist etwas markant aber rein theoretisch ?
Vielen Dank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 391123
Url: https://administrator.de/contentid/391123
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
4 Kommentare
Neuester Kommentar
Guten Abend,
deine PKI muss eine Zertifikatsperrliste (CRL) bereitstellen, auf die dann der FreeRadius Server zugreifen kann. Wenn du ein Zertifikat widerrufst, dann wird die Seriennummer des Zertifikats in die Liste hinterlegt.
Wenn nun eine WLAN Authentifizierung erfolgt, prüft der FreeRadius diese CRL und wenn die Seriennummer in dieser Liste vorhanden ist, verweigert er die Authentifizierung.
Viele Grüße,
Exception
deine PKI muss eine Zertifikatsperrliste (CRL) bereitstellen, auf die dann der FreeRadius Server zugreifen kann. Wenn du ein Zertifikat widerrufst, dann wird die Seriennummer des Zertifikats in die Liste hinterlegt.
Wenn nun eine WLAN Authentifizierung erfolgt, prüft der FreeRadius diese CRL und wenn die Seriennummer in dieser Liste vorhanden ist, verweigert er die Authentifizierung.
Viele Grüße,
Exception
Moin,
Na das Zertifikat über die ausstellende CA sperren.
Natürlich bringt dies nur was, wenn die Clients die Sperrliste abfragen oder die CA dies bedingt.
Gruß
Spirit
Na das Zertifikat über die ausstellende CA sperren.
Natürlich bringt dies nur was, wenn die Clients die Sperrliste abfragen oder die CA dies bedingt.
Gruß
Spirit
Guten Abend,
Hmm das stimmt.
Wäre so ähnlich wie ocsp stapling, da der Server das ja prüfen soll oder ?
Aber der Freeradius muss dieses ja dann Prüfen. Gibt es dafür ebenfalls einen Parameter ?
In der eap.conf ist was beschrieben.
Muss ich dafür dann eine neue CA bauen ?In der openssl cnf steht kein Eintrag drin. Oder reicht es eine crl Liste zu erstellen ?
Also so ?
ICh habe mir eine Zertifikat Index Datei erstellt. Dort stehen tatächlich Nummern drin, allerdings finde ich etwas merkwürdig warum da immer unknown steht. Müsste da nicht meine CA Stehen ?
Vielen Dank
fundave3
Hmm das stimmt.
Wäre so ähnlich wie ocsp stapling, da der Server das ja prüfen soll oder ?
Aber der Freeradius muss dieses ja dann Prüfen. Gibt es dafür ebenfalls einen Parameter ?
In der eap.conf ist was beschrieben.
Muss ich dafür dann eine neue CA bauen ?In der openssl cnf steht kein Eintrag drin. Oder reicht es eine crl Liste zu erstellen ?
Also so ?
echo -ne '00' > crl_list openssl ca -gencrl -out crl.pemICh habe mir eine Zertifikat Index Datei erstellt. Dort stehen tatächlich Nummern drin, allerdings finde ich etwas merkwürdig warum da immer unknown steht. Müsste da nicht meine CA Stehen ?
Vielen Dank
fundave3
Muss ich dafür dann eine neue CA bauen ?
Nein musst du nicht. Gibt zahlreiche Tutorials im Netz, wo das wunderschön erklärt wird.
Zum Beispiel:
https://access.redhat.com/documentation/en-us/red_hat_update_infrastruct ...
https://jamielinux.com/docs/openssl-certificate-authority/certificate-re ...
