4
Ausgestelltes Zertifikat wiederrufen
Guten Abend zusammen,
ich habe mal eine kurze Frage.
Zur WLAN Authentifizierung habe ich ein Freeradius Server mit EAP-TLS Zertifikaten und einer CA erstellt.
ICh habe nun mittels openssl CA mehrere Client Zertifikate ausgestellt.
Was mache ich nun , wenn ich diese ZErtifikate sperren möchte bzw. nicht mehr vertrauen möchte ?
z.B wenn ein Gerät gestohlen wurde. Ja ist etwas markant aber rein theoretisch ?
Vielen Dank
ich habe mal eine kurze Frage.
Zur WLAN Authentifizierung habe ich ein Freeradius Server mit EAP-TLS Zertifikaten und einer CA erstellt.
ICh habe nun mittels openssl CA mehrere Client Zertifikate ausgestellt.
Was mache ich nun , wenn ich diese ZErtifikate sperren möchte bzw. nicht mehr vertrauen möchte ?
z.B wenn ein Gerät gestohlen wurde. Ja ist etwas markant aber rein theoretisch ?
Vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 391123
Url: https://administrator.de/contentid/391123
Printed on: April 18, 2024 at 01:04 o'clock
4 Comments
Latest comment
Guten Abend,
deine PKI muss eine Zertifikatsperrliste (CRL) bereitstellen, auf die dann der FreeRadius Server zugreifen kann. Wenn du ein Zertifikat widerrufst, dann wird die Seriennummer des Zertifikats in die Liste hinterlegt.
Wenn nun eine WLAN Authentifizierung erfolgt, prüft der FreeRadius diese CRL und wenn die Seriennummer in dieser Liste vorhanden ist, verweigert er die Authentifizierung.
Viele Grüße,
Exception
deine PKI muss eine Zertifikatsperrliste (CRL) bereitstellen, auf die dann der FreeRadius Server zugreifen kann. Wenn du ein Zertifikat widerrufst, dann wird die Seriennummer des Zertifikats in die Liste hinterlegt.
Wenn nun eine WLAN Authentifizierung erfolgt, prüft der FreeRadius diese CRL und wenn die Seriennummer in dieser Liste vorhanden ist, verweigert er die Authentifizierung.
Viele Grüße,
Exception
Moin,
Na das Zertifikat über die ausstellende CA sperren.
Natürlich bringt dies nur was, wenn die Clients die Sperrliste abfragen oder die CA dies bedingt.
Gruß
Spirit
Na das Zertifikat über die ausstellende CA sperren.
Natürlich bringt dies nur was, wenn die Clients die Sperrliste abfragen oder die CA dies bedingt.
Gruß
Spirit
Guten Abend,
Hmm das stimmt.
Wäre so ähnlich wie ocsp stapling, da der Server das ja prüfen soll oder ?
Aber der Freeradius muss dieses ja dann Prüfen. Gibt es dafür ebenfalls einen Parameter ?
In der eap.conf ist was beschrieben.
Muss ich dafür dann eine neue CA bauen ?In der openssl cnf steht kein Eintrag drin. Oder reicht es eine crl Liste zu erstellen ?
Also so ?
ICh habe mir eine Zertifikat Index Datei erstellt. Dort stehen tatächlich Nummern drin, allerdings finde ich etwas merkwürdig warum da immer unknown steht. Müsste da nicht meine CA Stehen ?
Vielen Dank
fundave3
Hmm das stimmt.
Wäre so ähnlich wie ocsp stapling, da der Server das ja prüfen soll oder ?
Aber der Freeradius muss dieses ja dann Prüfen. Gibt es dafür ebenfalls einen Parameter ?
In der eap.conf ist was beschrieben.
Muss ich dafür dann eine neue CA bauen ?In der openssl cnf steht kein Eintrag drin. Oder reicht es eine crl Liste zu erstellen ?
Also so ?
echo -ne '00' > crl_list openssl ca -gencrl -out crl.pemICh habe mir eine Zertifikat Index Datei erstellt. Dort stehen tatächlich Nummern drin, allerdings finde ich etwas merkwürdig warum da immer unknown steht. Müsste da nicht meine CA Stehen ?
Vielen Dank
fundave3
Muss ich dafür dann eine neue CA bauen ?
Nein musst du nicht. Gibt zahlreiche Tutorials im Netz, wo das wunderschön erklärt wird.
Zum Beispiel:
https://access.redhat.com/documentation/en-us/red_hat_update_infrastruct ...
https://jamielinux.com/docs/openssl-certificate-authority/certificate-re ...
