CertBase Community
Die Lernplattform für Ihren Erfolg
SSTP-Remotezugriff: Sperrlisten für externe VPN-Clients veröffentlichen

Wenn Sie Ihren Clientcomputern Secure Socket Tunneling Protokoll (SSTP) basierte VPN-Verbindungen ermöglichen möchten und ein Serverzertifikat einer internen Zertifizierungsstelle verwenden, müssen Sie in Bezug auf die CA folgende Punkte berücksichtigen:

  • Die Clientcomputer müssen der Zertifizierungsstelle vertrauen. Dazu muss das Zertifizierungsstellenzertifikat auf den Clientcomputern in den Speicher Vertrauenswürdige Stammzertifizierungsstellen importiert werden. Wird eine Unternehmenszertifizierungsstelle verwendet, wird dieser Schritt automatisch auf allen Domänenmitgliedern durchgeführt.
     
  • Der Name des Zertifikats muss mit dem DNS-Namen übereinstimmen, der für die Verbindungsherstellung verwendet wird. Verwenden die Clientcomputer beispielsweise den Namen vpn1.certbase.de muss das Zertifikat auf diesen Namen registriert werden.
     
  • Die Clientcomputer müssen Zertifikatsperrlisten der CA abrufen können, um zu überprüfen, ob das Serverzertifikat des VPN-Servers zwischenzeitlich gesperrt wurde.

Standardmäßig haben externe VPN-Clients keinen Zugriff auf Zertifikatsperrlisten interner Zertifizierungsstellen. Bei der Verbindungsherstellung wird die Fehlermeldung 0x8009213: Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war angezeigt und der Verbindungsaufbau wird abgebrochen.

 

Um externen Clients das Abrufen der Sperrlisten zu ermöglichen, muss dem Zertifikat ein Sperrlistenverteilungspunkt hinzugefügt werden, der für die Clients erreichbar ist. Ein HTTP-Pfad zur Website der ausstellenden Zertifizierungsstelle bietet sich dazu an.

In meinem Fall verwendet der VPN-Server ein Zertifikat einer eigenständigen Zertifizierungsstelle, die auf dem VPN-Server installiert ist. Die Clientcomputer verwenden den öffentlichen Namen vpn1.certbase.de, um VPN-Verbindungen mit dem Firmennetzwerk herzustellen.

Sperrlisteneinträge konfigurieren

Orte, an denen Sperrlisten veröffentlicht werden und Orte, die in den Zertifikaten für den Abruf der Sperrliste eingetragen werden, können über die Erweiterungen der Zertifizierungsstelle konfiguriert werden.

 

Über die Schaltfläche Hinzufügen müssen wir einen URL ergänzen, der von unseren externen VPN-Clients erreichbar ist. Zudem muss sichergestellt sein, dass die Sperrlisten in dem Verzeichnis enthalten sind.

Der Beispielpfad in der Beschreibung gibt Orientierung für den neuen Eintrag:

 

 

Nach dem Übernehmen müssen die Zertifikatdienste neu gestartet werden.

Wird eine einzelne Zertifizierungsstelle verwendet, genügt es, den URL für das Abrufen der Sperrlisten zu ergänzen. Wenn eine Zertifizierungsstellenhierarchie mit mehreren Zertifizierungsstelleninformationen verwendet wird, muss in den Zertifikaten auch der Zugriff auf Stelleninformationen veröffentlicht werden.

Eventuell kennt der überprüfende Zertifikats-Client zwar das Stammzertifikat, nicht aber die Zertifikate der Zwischenzertifizierungsstellen. Die Stelleninformationen verweisen auf einen Ort, von dem das jeweils ausstellende Zertifikat heruntergeladen werden kann.

Die Konfiguration funktioniert analog zu den Sperrlisten.

 

Beim Übernehmen der Einstellungen müssen die Zertifikatdienste erneut durchgestartet werden.

Nachdem ein neues Zertifikat für die Serverauthentifizierung beantragt und auf dem VPN-Server installiert wurde, bestätigt ein Blick in die Detailinformationen die hinzugefügten Informationen:

 

Mogelpackung
Um die Überprüfung der Sperrinformationen für das Zertifikat des SSTP-VPN-Servers zu deaktivieren kann man einen DWORD32 Eintrag mit dem Namen NoCertRevocationCheck im Registrierungsschlüssel HKLM\System\CurrentControlSet\Services\Sstpsvc\Parameters erstellen und den Wert mit 1 festlegen.


Eingetragen Tue, 03. Jan 2012 20:38 von Maik
CertBase - IT-Prüfungsvorbereitung Online