none
Nachträglich CRL Verteilungspunkt hinzufügen RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe einen Sharepointserver über eine externe URL veröffentlicht. Auf dem Serverzertifikat des Sharepoint und damit auf dem CA Zertifikat (Unternehmens CA) sind nur die StandardCRL Punkte innerhalb der Domäne hinterlegt. Beim öffnen der im Sharepoint hintelegten Dokumente bekomme ich immer die Meldung "Es sind keine Sperrinformationen für das Sicherheitszertifikat dieser Seite verfügbar. Möchten Sie..."

    Deswegen möchte ich über unsere externe Firmenwebseite einen öffentlichen CRL Punkt hinzufügen: http://www.meinefirma.de/crl/certcrl.crl.

    Meine Fragen:

    - kann ich das so einfach in den Sperrlistenverteilungspunkten angeben und das Webserverzertifikat neu erstellen (neuer CRL Punkt)

    - kann ich die ganzen Häckchen unten auf der Registerkarte weglassen da ich manuell die CRL Liste zum externen Webserver kopiere?

    - gibt es Stolperfallen die ich noch gar nicht kenne?

     

    Umgebung:

    Server2008r2 Enterprise (CA), Server2008r2 Standard (Sharepoint und alle anderen,) Sharepointfoundation 2010, Office 2010

     

    Danke für Hilfe, Tips und Anregungen

     

    Dienstag, 28. Dezember 2010 08:33
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Mit der Sperrliste hast du schon einen möglichen Stolperstein gefunden. Wenn die crl erst auf einen Webserver kopiert werden muss, kann es zu Problemen kommen wenn die Gültigkeit und der Zeitabstand für den Kopiejob nicht genau zusammen passen ...

    Daher auch die Empfehlung mit TMG

    Die Frage geht auch an die TMG Spezialisten
    Da würde ich mal mit einreihen ;)

    Die Publishing-Regel sollte auf den Pfad /certenroll/* eingeschränkt werden. Danach kannst du am HTTP-Filter noch ein paar Einstellungen vornehmen:

    - Einschränken der HTTP-Methode auf GET
    - Einschränken der Dateitypen auf CRL / CRT (wenn du AIA auch darüber machst)

    Damit ist der Rest der CA nicht von außen angreifbar.

    Viele Grüße Carsten
    • Als Antwort markiert SNR_1 Donnerstag, 30. Dezember 2010 10:17
    Mittwoch, 29. Dezember 2010 17:36
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    - kann ich das so einfach in den Sperrlistenverteilungspunkten angeben und das Webserverzertifikat neu erstellen (neuer CRL Punkt)
    Ja, du kannst einen neuen Punkt auf der CA hinzufügen.

    - kann ich die ganzen Häckchen unten auf der Registerkarte weglassen da ich manuell die CRL Liste zum externen Webserver kopiere?
    Alle solltest du nicht entfernen. Das Häckchen für "ins Zertifikat aufnehmen" ist schon wichtig. Sonst steht dein neuer Punkt nicht mit drin.

    - gibt es Stolperfallen die ich noch gar nicht kenne?
    mmmh, welche kennst du denn ;)
    also der Sperrlistenverteilerpunkt http://www.meinefirma.de/crl/certcrl.crl muss natürlich im Internet aufgelöst werden und auf ein Ziel zeigen. Wenn du einen ISA/TMG hast, kannst du einfach das Verzeichniss Certenroll der CA über diesen veröffentlichen.

     

    Viele Grüße Carsten
    Mittwoch, 29. Dezember 2010 14:14
    |
  • Question
    Anmelden
    0
    Anmelden

    ich weiss nicht wo noch Stolperfallen sind, deswegen frag ich einfach^^ Nen GAU möcht ich nicht unbedingt haben.

    Der neue (gedachte) Verteilerpunkt liegt auf einem Webserver beim Provider, hat also nichts mit dem internen netzwerk zu tun. Ein TMG bildet die Edgefirewall bei uns, es ist ein interessanter Punkt das Verzeichniss certenroll zu veröffentlichen, da hier der Automatismus der CA genutzt werden kann. Wie steht es in dem Zusammenhang mit der CA Sicherheit und der allegmeinen Netzsicherheit?

    Gibt es Empfehlungen/KB Artikel/ Technetartikel?

    Die Frage geht auch an die TMG Spezialisten.

    Und danke für die Antwort.

    Mittwoch, 29. Dezember 2010 14:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Mit der Sperrliste hast du schon einen möglichen Stolperstein gefunden. Wenn die crl erst auf einen Webserver kopiert werden muss, kann es zu Problemen kommen wenn die Gültigkeit und der Zeitabstand für den Kopiejob nicht genau zusammen passen ...

    Daher auch die Empfehlung mit TMG

    Die Frage geht auch an die TMG Spezialisten
    Da würde ich mal mit einreihen ;)

    Die Publishing-Regel sollte auf den Pfad /certenroll/* eingeschränkt werden. Danach kannst du am HTTP-Filter noch ein paar Einstellungen vornehmen:

    - Einschränken der HTTP-Methode auf GET
    - Einschränken der Dateitypen auf CRL / CRT (wenn du AIA auch darüber machst)

    Damit ist der Rest der CA nicht von außen angreifbar.

    Viele Grüße Carsten
    • Als Antwort markiert SNR_1 Donnerstag, 30. Dezember 2010 10:17
    Mittwoch, 29. Dezember 2010 17:36
    |
  • Question
    Anmelden
    0
    Anmelden

    jetzt wo du es sagst, und das Stichwort "GET" hat mich mal in meinem "Buch Forefront TMG2010 Das handbuch" etwas vorblättern lassen und siehe da, auf seite 362 geht es los.

     

    Danke und Grüße

    Donnerstag, 30. Dezember 2010 10:17
    |