none
RRAS SSTP a z internetu nedostupne CA pro CRL kontrolu klientu

    Dotaz

  • Dobrý den, potýkám se s chybou 0x80092013 resp.
    CZ: Funkce zrušení nemohla zkontrolovat zrušení, protože server pro zrušení byl offline.
    EN: The revocation function was unable to check revocation because the revocation server was offline.

    která vznikne pokud se VPN klient snaží k RRAS serveru připojit pomocí SSTP (PPTP konekce funguje)

    VPN uživatel má v nedoménovém PC nainstalovaný CA root certifikát v

    Certifikáty (aktuální uživatel) > Zprostředkující certifikační autority > Certifikáty [nainstalováno]

    Certifikáty (místní) > Důvěryhodné kořenové certifikační autority > Certifikáty [sem zkopírováno]

    manuální import CRL souboru do klientských certifikátů nepomohl, proto jsem na RRAS GW nastavil NAT na http:// směr DC kde běží CA.

    ve vlastnostech CA jsem změnil CRL cestu z dc1.domena.cz na vpn.domena.cz, jelikož předpokládám, že tyto cesty jsou uvedeny v CA certifikátu tak jsem znova CA certifikát vyexportoval a znova naimportoval klientovi (staré jsem mu smazal), bohužel chybu mi to píše pořád..

    moje topologie: (2x Windows Server 2008 R2 SP1 a klient Windows 7)

    Všiml jsem si že v scenario na SSTP od MS je stejná topologie, ovšem CA server je nainstalován na GW v stand-alone verzi, což mi nepříde ideální, jak se tedy podobná situace řeší resp. jak zpřístupnim ten CRL nebo s tímhle nemám zkušenosti, děkuji moc.


    edit: teoreticky mě teď napadlo, že místo NATování CRL URL by se klient mohl připojit nejdříve přes PPTP a pak nainstalovat CRL z CA web enrollmentu, ale to jsem teď vyzkoušel a pořád to hlásí chybu :/
    • Upravený muflix úterý 12. března 2013 19:50
    úterý 12. března 2013 19:24

Odpovědi

  • problém jste identifikoval správně, ale řešení je trošku jiné:

    a) ano, pro SSTP potřebuje klient provést ověření CRL certifikátu toho VPN serveru. K tomu si to CRL vždycky stahuje - nepoužívá vůbec nakešované. I kdyby ho použil, stejně na to nemůžete spoléhat, protože ta keš samozřejmě za chvilku vyprší a pak už by se uživatelé nepřipojili vůbec.

    b) pokud byste chtěl kontrolu CRL na klientovi vypnout, tak stačí v registrech. To ale není bezpečné. Raději rozjeďte CRL kontrolu:

    HKLM\System\CCS\Services\SSTPSvc\Parameters
    NoCertRevocationCheck = DWORD = 1

    c) samozřejmě na ten VPN server můžete koupit placený certifikát, obvykle za pár korun (www.godaddy.com) a máte po starosti

    d) nebo rozjeďte svoje vlastní CRL. Ano, musíte zařídit, aby ta cesta, která je v certifikátu VPN serveru, byla dostupná z internetu. A musí v ní být aktuální CRL - to se vytváří jednou za čas - ve výchozím stavu jednou denně.

    e) ano, změňte tu cestu ve vlastnostech CA. Musíte tam ale nechat pouze jednu HTTP cestu. Jestli tam bude i LDAP cesta, to nevadí, ale od každého typu tam může být POUZE JEDNA.

    f) to ale neovlivňuje CRL cestu v certifikátu CA, protože tam ani žádná CRL cesta není (pokud tam je, tak stejně nemá smysl). To ovlivňuje CRL cesty, které budou až v nově vydaných certifikátech.

    g) Takže musíte znovu vydat certifikát toho VPN serveru a nahradit ho na tom VPN serveru.

    h) Až ho znovu vydáte, vyexportujte si ho a ověřte, že v tom novém ceritifikátu VPN serveru je skutečně správná HTTP cesta

    i) ten certifikát VPN serveru vezměte, překopírujte si ho na tu testovací stanici, kterou vyndejte do internetu. Až bude v internetu, tak nejprve ověřte, že ty CRL cesty jde z venku stáhnout. To uděláte z klientské stanice takto:

    CERTUTIL -URL jmeno-certifikatu-vpn-serveru.cer

    j) no a pak už by to mělo valit.

    ondra

    www.sevecek.com

    • Navržen jako odpověď Ing. Ondrej Žilinec středa 13. března 2013 10:05
    • Označen jako odpověď muflix čtvrtek 14. března 2013 20:30
    • Zrušeno označení jako odpověď muflix čtvrtek 14. března 2013 20:31
    • Označen jako odpověď muflix neděle 17. března 2013 13:54
    středa 13. března 2013 7:22

Všechny reakce

  • problém jste identifikoval správně, ale řešení je trošku jiné:

    a) ano, pro SSTP potřebuje klient provést ověření CRL certifikátu toho VPN serveru. K tomu si to CRL vždycky stahuje - nepoužívá vůbec nakešované. I kdyby ho použil, stejně na to nemůžete spoléhat, protože ta keš samozřejmě za chvilku vyprší a pak už by se uživatelé nepřipojili vůbec.

    b) pokud byste chtěl kontrolu CRL na klientovi vypnout, tak stačí v registrech. To ale není bezpečné. Raději rozjeďte CRL kontrolu:

    HKLM\System\CCS\Services\SSTPSvc\Parameters
    NoCertRevocationCheck = DWORD = 1

    c) samozřejmě na ten VPN server můžete koupit placený certifikát, obvykle za pár korun (www.godaddy.com) a máte po starosti

    d) nebo rozjeďte svoje vlastní CRL. Ano, musíte zařídit, aby ta cesta, která je v certifikátu VPN serveru, byla dostupná z internetu. A musí v ní být aktuální CRL - to se vytváří jednou za čas - ve výchozím stavu jednou denně.

    e) ano, změňte tu cestu ve vlastnostech CA. Musíte tam ale nechat pouze jednu HTTP cestu. Jestli tam bude i LDAP cesta, to nevadí, ale od každého typu tam může být POUZE JEDNA.

    f) to ale neovlivňuje CRL cestu v certifikátu CA, protože tam ani žádná CRL cesta není (pokud tam je, tak stejně nemá smysl). To ovlivňuje CRL cesty, které budou až v nově vydaných certifikátech.

    g) Takže musíte znovu vydat certifikát toho VPN serveru a nahradit ho na tom VPN serveru.

    h) Až ho znovu vydáte, vyexportujte si ho a ověřte, že v tom novém ceritifikátu VPN serveru je skutečně správná HTTP cesta

    i) ten certifikát VPN serveru vezměte, překopírujte si ho na tu testovací stanici, kterou vyndejte do internetu. Až bude v internetu, tak nejprve ověřte, že ty CRL cesty jde z venku stáhnout. To uděláte z klientské stanice takto:

    CERTUTIL -URL jmeno-certifikatu-vpn-serveru.cer

    j) no a pak už by to mělo valit.

    ondra

    www.sevecek.com

    • Navržen jako odpověď Ing. Ondrej Žilinec středa 13. března 2013 10:05
    • Označen jako odpověď muflix čtvrtek 14. března 2013 20:30
    • Zrušeno označení jako odpověď muflix čtvrtek 14. března 2013 20:31
    • Označen jako odpověď muflix neděle 17. března 2013 13:54
    středa 13. března 2013 7:22
  • Paráda, děkuji moc. S tou úpravou v registrech to funguje, změnil jsem i CRL http cestu (na http://crl.domena.cz) tak aby byla přístupná jak zvenčí tak i místně (místní DNS a veřejný DNS) a certifikát VPN serveru jsem vygeneroval znovu (starý jsem revocoval) a po přehrání vpn.cer na testovací stanici a spuštění příkazu CERTUTIL -URL mi to dvě LDP cesty neověřilo a u té http://crl.domena.cz/...crl mi to píše úspěch a je možné po zadání cesty do prohlížeče soubor stáhnout. Problémem akorát pořád zůstává ta stejná chyba a nemohu se připojit pomocí SSTP (PPTP,L2TP,IKEv2 fungují). vyřešilo by se to asi tím placeným certifikátem což by bylo asi ideální.

    edit: když smažu CRL cache klientské stanice 'certutil -urlcache crl delete' a skusim se připojit pomocí VPN kde mi to vyhodí chybu. a znovu zobrazím cache 'certutil -urlcache crl' tak tam už http://crl.domena.cz/CertEnroll/domena-DC1-CA.crl nemám, ale před smazáním tam adresa byla.

    • Upravený muflix čtvrtek 14. března 2013 20:40
    čtvrtek 14. března 2013 20:30