Wir setzen Zertifikate von StartSSL / StartCom ein, aber ich denke, das Problem tritt auch bei anderen Anbietern auf.
Bei der Installation der Zertifikate auf den UTM11 bin ich folgendermaßen vorgegangen
1. CA-Zertifikat im PEM-Format heruntergeladen und in UTM importiert
2. CRL zu diesem Zertifikat aus dem Sperrlistenverteilungspunkt heruntergeladen (http://crl.startcom.org/sfsca-crl.crl)
3. Heruntergeladene CRL mit openssl von DER in PEM konvertiert und importiert
4. Passendes Intermediate-Server-CA-Zerifikat (Class 1, 2, 3 oder EA) im PEM heruntergeladen und importiert
5. Das eigentliche SSL-Zertifikat (z.B. für den Reverse Proxy) im PEM-Format heruntergeladen und importiert
6. CRL zum SSL-Zertifikat aus dem Sperrlistenverteilungspunkt heruntergeladen (http://crl.startssl.com/crt2-crl.crl)
7. Heruntergeladene CRL mit openssl von DER in PEM konvertiert und importiert
Anschließend ist für 2 Tage alles schön grün (solange die Laufzeit der CRL des SSL-Zertifikats nicht abgelaufen ist).
In dem Forenbeitrag ( http://support.securepoint.de/viewtopic ... 1917#p6979) hab ich gelesen, dass die Laufzeit der CRL ignoriert wird. Das stimmt nur eingeschränkt, denn die Funktion wird (soweit für mich erkennbar) im vorliegenden Fall tatsächlich nicht beeinträchtigt, aber in der Zertifikatsverwaltung steht in leuchtendem Rot das unschöne "CRL HAS EXPIRED".
Eigentlich könnte man diese Meldung ignorieren, aber bei unseren Kunden wird mir garantiert ein Firmenadministrator über die Schultern schauen und mich fragen... Das schadet dem Vertrauen.
Ist diese Meldung systembedingt oder habe ich nur beim Import der Zertifikate eine Fehler gemacht?
SSL-Zerifikat - "CRL HAS EXPIRED"
Moderator: Securepoint
Hallo,
die CRL von startssl ist immer nur 2 Tage gültig. (Können Sie sich mithilfe von openssl anzeigen lassen, die Felder Last Update und Next Update sind hier interessant)
Die Firewall selbst aktualisiert diese CRL nicht von alleine heißt: Sie müssten alle 2 Tage die CRL neu importieren.
Gruß
Kenneth
die CRL von startssl ist immer nur 2 Tage gültig. (Können Sie sich mithilfe von openssl anzeigen lassen, die Felder Last Update und Next Update sind hier interessant)
Die Firewall selbst aktualisiert diese CRL nicht von alleine heißt: Sie müssten alle 2 Tage die CRL neu importieren.
Gruß
Kenneth
Das heißt also, dass ich besser Zertifikate beispielsweise von Thawte einsetzen sollte?
Thawte ist nicht so pingelig beim Aktualisieren der Sperrlisten. Dort müsste ich die CRL nicht alle 2 Tage sondern nur alle 10 Tage neu importieren.
Mir ist nicht klar, wofür diese CRL überhaupt gebraucht werden, wenn der Private Key für die CA- und Intermediate-Zertifikate fehlt. In solchen Fällen könnte beim Status der CRL auch "n.a." oder eben gar nichts stehen.
Bei einer CA, die auf der UTM erstellt wurde, ist das vielleicht anders.
Gruß
Franz
Thawte ist nicht so pingelig beim Aktualisieren der Sperrlisten. Dort müsste ich die CRL nicht alle 2 Tage sondern nur alle 10 Tage neu importieren.
Mir ist nicht klar, wofür diese CRL überhaupt gebraucht werden, wenn der Private Key für die CA- und Intermediate-Zertifikate fehlt. In solchen Fällen könnte beim Status der CRL auch "n.a." oder eben gar nichts stehen.
Bei einer CA, die auf der UTM erstellt wurde, ist das vielleicht anders.
Gruß
Franz
Von wem Sie Zertifikate verwenden können Sie sich aussuchen.
Über die CRL wird der Status der Zertifikate/CAs abgefragt sprich: Sind diese abgelaufen, Wiederrufen oder noch gültig.
Wenn nicht die aktuellste CRL hinterlegt ist, kann es sein das ein Zertifikat welches Wiederrufen wurde noch funktioniert. (Was generell für die Firewall egal ist, da die Clients die CRL bei startssl überprüfen und nicht auf der Firewall)
Gruß Kenneth
Über die CRL wird der Status der Zertifikate/CAs abgefragt sprich: Sind diese abgelaufen, Wiederrufen oder noch gültig.
Wenn nicht die aktuellste CRL hinterlegt ist, kann es sein das ein Zertifikat welches Wiederrufen wurde noch funktioniert. (Was generell für die Firewall egal ist, da die Clients die CRL bei startssl überprüfen und nicht auf der Firewall)
Gruß Kenneth
Also ist die Sache systembedingt und die Meldung ist zu ignorieren.
...und vielleicht in ganz ferner Zukunft kann die Firewall auch selbsttätig die CRL vom Sperrlistenverteilungspunkt abrufen.
Ich werde jedenfalls nicht alle 2 oder 10 Tage die CRL importieren.
Gruß
Franz
PS
Unter aktuellem Windows kann man sich die Daten der Zertifikate und CRL per Doppelklick anzeigen lassen.
...und vielleicht in ganz ferner Zukunft kann die Firewall auch selbsttätig die CRL vom Sperrlistenverteilungspunkt abrufen.
Ich werde jedenfalls nicht alle 2 oder 10 Tage die CRL importieren.
Gruß
Franz
PS
Unter aktuellem Windows kann man sich die Daten der Zertifikate und CRL per Doppelklick anzeigen lassen.
Danke!