2
SmartCard - Zertifikat sperren - Sperrliste
Guten Abend
Da ein älteres Thema ursprünglich mit etwas anderem zu tun hatte mache ich besser ein neues auf. Ich hoffe das passt so.
Ich habe mir eine Zertifizierungsstelle eingerichtet und habe als Sperrliste ebenfalls OCSP eingerichtet. Grösstenteils bin ich nach dieser Anleitung vorgegangen: https://www.youtube.com/playlist?list=PLUZTRmXEpBy0VB8ojNFzgmoC1s-_JwZW7
Wenn ich nun meinen YubiKey vorbereite kann ich mich mit der SmartCard anmelden und das klappt auch ohne Probleme. Nun möchte ich aber herausfinden wie ich das Zertifikat sperren kann so dass der YubiKey sofort nicht mehr verwendet werden kann.
Was habe ich gemacht:
Das Resultat ist leider nach wie vor das ich mich anmelden kann.
Unter anderem habe ich noch den Hinweis mit zwei Registry Einträgen "UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors" für DC und den Client gefunden. Aber da dies nicht empfohlen wird wollte ich dies erst mal weg lassen.
Mir ist bewusst, dass sich jemand (vorausgesetzt er kennt den PIN) unterwegs anmelden kann wenn er Laptop und YubiKey findet und das Zertifikat gesperrt ist. Aber innerhalb der Domäne wäre es eigentlich schön wenn dies möglich wäre eine direkte Sperre einzurichten.
Ich bedanke mich schon für jede Hilfestellung
Gruss
Koda
Da ein älteres Thema ursprünglich mit etwas anderem zu tun hatte mache ich besser ein neues auf. Ich hoffe das passt so.
Ich habe mir eine Zertifizierungsstelle eingerichtet und habe als Sperrliste ebenfalls OCSP eingerichtet. Grösstenteils bin ich nach dieser Anleitung vorgegangen: https://www.youtube.com/playlist?list=PLUZTRmXEpBy0VB8ojNFzgmoC1s-_JwZW7
Wenn ich nun meinen YubiKey vorbereite kann ich mich mit der SmartCard anmelden und das klappt auch ohne Probleme. Nun möchte ich aber herausfinden wie ich das Zertifikat sperren kann so dass der YubiKey sofort nicht mehr verwendet werden kann.
Was habe ich gemacht:
- Zertifikat gesperrt
- In der Zertifizierungsstelle auf "Gesperrte Zertifikate" geklickt und die Sperrliste neu Veröffentlicht
- unter Online-Responder auf Arraykonfiguration und sperrdaten aktualisieren
- Nach dem ich einiges gesucht habe, habe ich den Tipp gefunden man soll auf beiden DC's sowie der CA den Befehl "certutil -setreg chain\ChainCacheResyncFiletime @nOw" ausführen. Dies habe ich gemacht und den Dienst certsvc auf dem CA neu gestartet.
Das Resultat ist leider nach wie vor das ich mich anmelden kann.
Unter anderem habe ich noch den Hinweis mit zwei Registry Einträgen "UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors" für DC und den Client gefunden. Aber da dies nicht empfohlen wird wollte ich dies erst mal weg lassen.
Mir ist bewusst, dass sich jemand (vorausgesetzt er kennt den PIN) unterwegs anmelden kann wenn er Laptop und YubiKey findet und das Zertifikat gesperrt ist. Aber innerhalb der Domäne wäre es eigentlich schön wenn dies möglich wäre eine direkte Sperre einzurichten.
Ich bedanke mich schon für jede Hilfestellung
Gruss
Koda
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 553705
Url: https://administrator.de/contentid/553705
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
2 Kommentare
Neuester Kommentar
Hi,
du wirfst hier zwei Dinge durcheinander CRL und OCSP. OCSP ist eine Alternative zum CRL-Checking. Damit OCSP vom Client auch genutzt werden kann muss es erstens einen entsprechenden Responder geben, zweitens muss die URL in der AIA Extension der Zertifikate (Templates anpassen) eingetragen sein und der Client muss diese URL des Responders auch von überall abrufen können.
Bei CRLs ist das so das Clients die Sperrliste auch cachen und nur abrufen wenn diese abläuft oder man das am Client forciert.
Bei Abhanden kommen des Faktors (Diebstahl usw.) sollte als erstes das Konto sicherheitshalber erst einmal deaktiviert werden, dann sollte das Zertifikat natürlich zurückgezogen werden, und auch im AD-Account das dort hinterlegte Zertifikat entfernt werden.
Den Zeitraum den die Server und Clients eine Zertifikatsanmeldung aus Performance-Gründen cachen, kann man übrigens in der Registry anpassen.
https://docs.microsoft.com/en-us/windows-server/security/tls/tls-registr ...
Gruß
du wirfst hier zwei Dinge durcheinander CRL und OCSP. OCSP ist eine Alternative zum CRL-Checking. Damit OCSP vom Client auch genutzt werden kann muss es erstens einen entsprechenden Responder geben, zweitens muss die URL in der AIA Extension der Zertifikate (Templates anpassen) eingetragen sein und der Client muss diese URL des Responders auch von überall abrufen können.
Bei CRLs ist das so das Clients die Sperrliste auch cachen und nur abrufen wenn diese abläuft oder man das am Client forciert.
Bei Abhanden kommen des Faktors (Diebstahl usw.) sollte als erstes das Konto sicherheitshalber erst einmal deaktiviert werden, dann sollte das Zertifikat natürlich zurückgezogen werden, und auch im AD-Account das dort hinterlegte Zertifikat entfernt werden.
Den Zeitraum den die Server und Clients eine Zertifikatsanmeldung aus Performance-Gründen cachen, kann man übrigens in der Registry anpassen.
https://docs.microsoft.com/en-us/windows-server/security/tls/tls-registr ...
Gruß
Guten Abend
Vielen Dank. Ich denke ich habe die Anforderungen alle erfüllt. Die einzige Frage ist wo man die AIA Extension im Zertifikat Template eintragen muss. Dort finde ich keine Einstellung.
Ich habe diese in der CA eingetragen, und finde diese mittels certutil -url beim Zertifikat auch. Aber ggf ging da ja was vergessen.
Gruss
Koda
Vielen Dank. Ich denke ich habe die Anforderungen alle erfüllt. Die einzige Frage ist wo man die AIA Extension im Zertifikat Template eintragen muss. Dort finde ich keine Einstellung.
Ich habe diese in der CA eingetragen, und finde diese mittels certutil -url beim Zertifikat auch. Aber ggf ging da ja was vergessen.
Gruss
Koda
