locked
OCSP über TMG veröffentlichen RRS feed

  • Frage

  • Moin,

    wie im Handbuch beschrieben habe ich die Zertifikatssperrliste über den TMG veröffentlicht. Funktioniert auch super.

    Meine Frage, kann ich über die selbe Regel und den selben Weblistener auch das verzeichnis OCSP veröffentlichen?

    Danke und Grüße

    Montag, 11. April 2011 06:08

Antworten

  • Hallo Herr SNR_1,

    weitere IP Adressen sollten am externen Interface kein Problem sein. Manchmal tauchen die aber auch nicht sofort auf und Du musst erst den TMG Control Service neu durchstarten, damit diese in der TMG Konsole gelistet werden. Wenn mich mein Erinenrungsvermoegen aber nicht truegt, hatte schon mal jemand so ein Problem, dass die 11. IP Adresse nicht angezeigt wurde. Fuerg mal zum Testen noch eine 12. IP Adresse hinzu und wenn es nur ein Dummy ist.

    Welche HTTP Verben fuer OCSP erlaubt / verweigert werden muessen steht da AFAIK nicht drin, aber hier: http://tools.ietf.org/html/rfc2560 - Das RFC beschreibt genau, wie die Kommunikation erfolgt (GET, POST usw)


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort markiert SNR_1 Montag, 18. April 2011 08:27
    Sonntag, 17. April 2011 08:10

Alle Antworten

  • moin snr_1,

    crl published du ja via http. verwendest du da einen subfolder wie /certentroll/*?

    falls ja, dann sollte einem publish via http und ocs nichts im wege stehen. wenn du https für ocs verwenden willst, dann verwendest du eh einen seperaten listener und bist aussen vor.


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Montag, 11. April 2011 06:19
  • Hi,

    ja, das geht problemlos, wenn HTTP verwendet wird


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Montag, 11. April 2011 06:39
  • Danke,

    es wird HTTP verwendet.

    Im http Filter steht halt drin das nur der "get" befehl erlaubt ist. Da hatte ich so meine bedenken.

    Grüße

    Montag, 11. April 2011 09:13
  • ah, da hat einer manuell nachgebessert - da hätte ich auch meine bedenken.

    ;-)

    aber du legst ja für ocs/cwa eine neue regel an - auf der du dann individuell den http-filter konfigurieren kannst. du teilst dir dann "nur" den weblistener!


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Montag, 11. April 2011 09:34
  • Ich hab die Regel aus dem Handbuch von Herr Grote, weitere IP Adressen kann ich zwar auf der externen NIC des TMG hinzufügen, wenn ich einen neuen Listener mache wird die dort aber bei der IP auf der gelauscht werden soll, die neu hinzugefügte, nicht angezeigt.

    Konfigirationshintergrund:

    Aufd dem externen Bein des TMG sind bereist 10 IP Adressen konfiguriert, das wäre die elfte. Die wird patu nicht angezeigt wenn ich einen neuen Listener baue (Assisitent).

    Dann ist da noch die Frage wie ich das oscp Verzeichnis sicher veröffentliche, welche http befehle reichen aus damit es funktioniert? Eine kleine Frage an die handbuchautoren, wenns drinne steht, gibt es eine Seitenzahl die ich nicht mehr im Blick habe?

    Danke und Grüße

    Sonntag, 17. April 2011 07:45
  • Hallo Herr SNR_1,

    weitere IP Adressen sollten am externen Interface kein Problem sein. Manchmal tauchen die aber auch nicht sofort auf und Du musst erst den TMG Control Service neu durchstarten, damit diese in der TMG Konsole gelistet werden. Wenn mich mein Erinenrungsvermoegen aber nicht truegt, hatte schon mal jemand so ein Problem, dass die 11. IP Adresse nicht angezeigt wurde. Fuerg mal zum Testen noch eine 12. IP Adresse hinzu und wenn es nur ein Dummy ist.

    Welche HTTP Verben fuer OCSP erlaubt / verweigert werden muessen steht da AFAIK nicht drin, aber hier: http://tools.ietf.org/html/rfc2560 - Das RFC beschreibt genau, wie die Kommunikation erfolgt (GET, POST usw)


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort markiert SNR_1 Montag, 18. April 2011 08:27
    Sonntag, 17. April 2011 08:10
  • Moin,

    im Prinzip reicht erstmal das "GET" Verb damit meine Aussendienst Win7 die Abfrage erfolgreich abschliessen können. Für mich zum Verständnis und auch zur Frage heist das, das ich in der Regel (für die CRL) die im Handbuch beschrieben ist nur das OSCP Verzeichnis zu den erlaubten Verzeichnissen hinzufügen muss? Maximal noch das Post verb wenn über 255byte komme.

    Sorry das ich etwas unbeholfen frage, lieber eine Frage mehr als nachher vor einem Trümmerhaufen stehen wenn ich etwas zum ersten mal mache.

     

    Danke und Grüße

     

    HTTP based OCSP requests can use either the GET or the POST method to submit their requests. To enable HTTP caching, small requests (that after encoding are less than 255 bytes), MAY be submitted using GET. If HTTP caching is not important, or the request is greater than 255 bytes, the request SHOULD be submitted using POST. Where privacy is a requirement, OCSP transactions exchanged using HTTP MAY be protected using either TLS/SSL or some other lower layer protocol. An OCSP request using the GET method is constructed as follows: GET {url}/{url-encoding of base-64 encoding of the DER encoding of the OCSPRequest} where {url} may be derived from the value of AuthorityInfoAccess or other local configuration of the OCSP client. An OCSP request using the POST method is constructed as follows: The Content-Type header has the value "application/ocsp-request" while the body of the message is the binary value of the DER encoding of the OCSPRequest.

    An HTTP-based OCSP response is composed of the appropriate HTTP headers, followed by the binary value of the DER encoding of the OCSPResponse. The Content-Type header has the value "application/ocsp-response". The Content-Length header SHOULD specify the length of the response. Other HTTP headers MAY be present and MAY be ignored if not understood by the requestor.

    Montag, 18. April 2011 06:34
  • Hi,

    yuup, wuerde ich auch so sehen. HTTP GET und ab 255 byte dann auch noch zusaetzlich HTTP POST erlauben


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Montag, 18. April 2011 07:05