none
Active Directory Smartcard Zertifikat sperren RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,
    ich habe mir mit Hilfe meines Windows Servers 2008 eine PKI aufgesetzt und ein Smartcard-Benutzer-Zertifikat auf meine Smartcard geschrieben. Nun kann ich mich erfolgreich mit der Smartcard und den Windows 7 nativen Methoden z.B. in mein VPN (SSTP) einloggen.

    Soviel zum Hintergrund. Doch wenn ich jetzt das Zertifikat wiederrufe, kann ich mich immer noch via VPN einloggen. Meine Frage ist nun, wie kann ich das unterbinden?

     

    Mit freundlichen Grüßen

    Alexander Langer

    Freitag, 28. Mai 2010 19:37
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hallo Alexander,

    solange der Domain Controller eine aktuelle CRL gecached hat, wird diese zur Zertifikatsgültigkeitsprüfung verwendet. Da seit dem Zertifikatsrückruf von der CA scheinbar noch keine neue CRL generiert worden ist und die auf dem Domain Controller vorhandene CRL auch nach wie vor gültig ist, wird das Smartcard Zertifikat vom Domain Controller als gültig anerkannt. Siehe auch http://blogs.technet.com/b/pki/archive/2008/06/05/how-effectivedate-thisupdate-nextupdate-and-nextcrlpublish-are-calculated.aspx

    Erst wenn die CA eine neue CRL generiert hat, in der die Serial-Nummer des zurückgerufenen Zertifikats enthalten ist und der Domain Controller die neue CRL angefordert hat, wird das Zertifikat als zurückgerufen interpretiert.

    Mit Windows Server 2008 kann die kürzeste CRL Gültigkeit auf einen Tag konfiguriert werden. Mit Windows Server 2008 R2 ist die CRL Gültigkeit auch in Stunden konfigurierbar.

    Grundsätzlich wäre es gut, sich über die Verwendung von CRLs, delta CRLs und ggf. auch OCSP Gedanken zu machen.

    Carsten

    Freitag, 28. Mai 2010 20:49
    |
    Beantworter