Sperrlisten-Überprüfung über HTTP auf einem Cisco VPN 3000 Concentrator

Download-Optionen

  • PDF     (440.1 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (288.0 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (364.4 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:13. März 2006
Dokument-ID:26383

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird beschrieben, wie Sie die Überprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL) für Zertifizierungsstellen-Zertifikate aktivieren, die im Cisco VPN 3000 Concentrator im HTTP-Modus installiert sind.

Normalerweise wird erwartet, dass ein Zertifikat für seine gesamte Gültigkeitsdauer gültig ist. Wenn ein Zertifikat jedoch aufgrund einer Namensänderung, einer Änderung der Zuordnung zwischen dem Betreff und der Zertifizierungsstelle und einer Gefährdung der Sicherheit ungültig wird, wird es von der Zertifizierungsstelle widerrufen. Unter X.509 widerrufen CAs Zertifikate, indem sie regelmäßig eine signierte Zertifikatsperrliste ausstellen, in der jedes widerrufene Zertifikat anhand seiner Seriennummer identifiziert wird. Wenn die CRL-Prüfung aktiviert ist, überprüft der VPN Concentrator jedes Mal, wenn er das Zertifikat für die Authentifizierung verwendet, auch die CRL, um sicherzustellen, dass das überprüfte Zertifikat nicht widerrufen wurde.

CAs verwenden LDAP-/HTTP-Datenbanken (Lightweight Directory Access Protocol), um CRLs zu speichern und zu verteilen. Sie können auch andere Methoden verwenden, aber der VPN Concentrator verlässt sich auf den LDAP-/HTTP-Zugriff.

Die Überprüfung der HTTP-Sperrliste wurde in VPN Concentrator Version 3.6 oder höher eingeführt. Die LDAP-basierte Überprüfung der Sperrlisten wurde jedoch in früheren Versionen von 3.x eingeführt. In diesem Dokument wird nur die Sperrlistenprüfung mithilfe von HTTP behandelt.

Hinweis: Die CRL-Cachegröße von VPN Concentrators der Serie 3000 hängt von der Plattform ab und kann nicht auf Wunsch des Administrators konfiguriert werden.

Voraussetzungen

Anforderungen

Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie diese Konfiguration ausprobieren:

  • Sie haben den IPsec-Tunnel erfolgreich von den VPN 3.x-Hardware-Clients mithilfe von Zertifikaten für die IKE-Authentifizierung (Internet Key Exchange) eingerichtet (ohne Aktivierung der Sperrlistenprüfung).

  • Ihr VPN Concentrator ist jederzeit mit dem CA-Server verbunden.

  • Wenn der CA-Server mit der öffentlichen Schnittstelle verbunden ist, haben Sie die erforderlichen Regeln im öffentlichen (Standard-) Filter geöffnet.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • VPN 3000 Concentrator Version 4.0.1 C

  • VPN 3.x Hardware-Client

  • Microsoft-Zertifizierungsstellenserver für die Zertifikatgenerierung und die Zertifikatsperrlisten-Überprüfung, die auf einem Windows 2000-Server ausgeführt werden.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

crl-http-vpn3k-1.gif

Konfigurieren des VPN 3000 Concentrator

Schritt-für-Schritt-Anleitung

Gehen Sie wie folgt vor, um den VPN 3000 Concentrator zu konfigurieren:

  1. Wählen Sie Administration > Certificate Management (Verwaltung > Zertifikatsverwaltung) aus, um ein Zertifikat anzufordern, wenn Sie nicht über ein Zertifikat verfügen.

    Wählen Sie Klicken Sie hier, um ein Zertifikat zu installieren, um das Root-Zertifikat auf dem VPN Concentrator zu installieren.

    crl-http-26383c.gif

  2. Wählen Sie Zertifizierungsstellenzertifikat installieren aus.

    crl-http-26383b.gif

  3. Wählen Sie SCEP (Simple Certificate Enrollment Protocol) aus, um die Zertifizierungsstellenzertifikate abzurufen.

    crl-http-vpn3k-3.gif

  4. Geben Sie im SCEP-Fenster die vollständige URL des CA-Servers im URL-Dialogfeld ein.

    In diesem Beispiel ist die IP-Adresse des CA-Servers 172.18.124.96. Da in diesem Beispiel der Zertifizierungsstellenserver von Microsoft verwendet wird, ist die vollständige URL http://172.18.124.96/certsrv/mscep/mscep.dll. Geben Sie dann im Dialogfeld "CA-Deskriptor" einen Ein-Wort-Deskriptor ein. In diesem Beispiel wird CA verwendet.

    crl-http-vpn3k-4.gif

  5. Klicken Sie auf Abrufen.

    Ihr Zertifizierungsstellenzertifikat sollte im Fenster Administration > Certificate Management (Administration > Zertifikatsverwaltung) angezeigt werden. Wenn kein Zertifikat angezeigt wird, kehren Sie zu Schritt 1 zurück, und befolgen Sie die Vorgehensweise erneut.

    crl-http-vpn3k-5.gif

  6. Wenn Sie über ein Zertifizierungsstellenzertifikat verfügen, wählen Sie Administration > Certificate Management > Enroll aus, und klicken Sie auf Identity certificate.

    crl-http-vpn3k-6.gif

  7. Klicken Sie auf Enroll via SCEP at ... (Über SCEP registrieren unter ...), um das Identitätszertifikat zu beantragen.

    crl-http-vpn3k-7.gif

  8. Gehen Sie wie folgt vor, um das Anmeldeformular auszufüllen:

    1. Geben Sie im Feld Common Name (CN) den allgemeinen Namen für den VPN Concentrator ein, der in der Public-Key-Infrastruktur (PKI) verwendet werden soll.

    2. Geben Sie Ihre Abteilung in das Feld Organisationseinheit (OU) ein. Die OU muss mit dem konfigurierten IPsec-Gruppennamen übereinstimmen.

    3. Geben Sie Ihre Organisation oder Ihr Unternehmen in das Feld Organisation (O) ein.

    4. Geben Sie Ihre Stadt in das Feld Lokalität (L) ein.

    5. Geben Sie im Feld "Bundesland" Ihr Bundesland ein.

    6. Geben Sie Ihr Land in das Feld Land (C) ein.

    7. Geben Sie den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) für den VPN Concentrator ein, der in der PKI im Feld Fully Qualified Domain Name (FQDN) verwendet werden soll.

    8. Geben Sie die E-Mail-Adresse für den VPN Concentrator, die in der PKI verwendet werden soll, im Feld "Subject Alternative Name (E-Mail-Adresse)" (Alternativer Betreffname (E-Mail-Adresse)) ein.

    9. Geben Sie das Kennwort für die Anforderung des Zertifikats in das Feld Kennwort für die Anforderung ein.

    10. Geben Sie das Kennwort erneut in das Feld "Kennwort für Herausforderung bestätigen" ein.

    11. Wählen Sie die Schlüsselgröße für das generierte RSA-Schlüsselpaar aus der Dropdown-Liste Schlüsselgröße aus.

      crl-http-vpn3k-8.gif

  9. Wählen Sie Enroll (Registrieren) aus, und zeigen Sie den SCEP-Status im Abrufstatus an.

  10. Wechseln Sie zum CA-Server, um das Identitätszertifikat zu genehmigen. Nach der Genehmigung auf dem CA-Server sollte Ihr SCEP-Status installiert sein.

    crl-http-vpn3k-9.gif

  11. Unter "Zertifikatsverwaltung" sollte das Identitätszertifikat angezeigt werden.

    Wenn dies nicht der Fall ist, überprüfen Sie die Protokolle auf dem CA-Server, um weitere Fehlerbehebungen zu erhalten.

    crl-http-vpn3k-10.gif

  12. Wählen Sie Ansicht für das empfangene Zertifikat aus, um festzustellen, ob Ihr Zertifikat über einen CRL Distribution Point (CDP) verfügt.

    CDP listet alle CRL-Verteilungspunkte des Ausstellers dieses Zertifikats auf. Wenn Ihr Zertifikat CDP enthält und Sie einen DNS-Namen zum Senden einer Abfrage an den CA-Server verwenden, stellen Sie sicher, dass Sie DNS-Server in Ihrem VPN Concentrator definiert haben, um den Hostnamen mit einer IP-Adresse aufzulösen. In diesem Fall lautet der Hostname des CA-Servers "jazib-pc", der auf dem DNS-Server in eine IP-Adresse von 172.18.124.96 aufgelöst wird.

    crl-http-vpn3k-11.gif

  13. Klicken Sie auf Ihr Zertifizierungsstellenzertifikat konfigurieren, um die Sperrlistenprüfung für die empfangenen Zertifikate zu aktivieren.

    Wenn das empfangene Zertifikat CDP enthält und Sie es verwenden möchten, wählen Sie im zu überprüfenden Zertifikat die Option CRL-Verteilungspunkte verwenden aus.

    Da das System die Zertifikatsperrliste von einem Netzwerkverteilungspunkt abrufen und untersuchen muss, kann die Aktivierung der Zertifikatsperrlistenprüfung die Systemreaktionszeiten verlangsamen. Außerdem schlägt die Überprüfung der Zertifikatsperrliste möglicherweise fehl, wenn das Netzwerk langsam oder überlastet ist. Aktivieren Sie das CRL-Caching, um diese potenziellen Probleme zu beheben. Dadurch werden die abgerufenen Zertifikatsperrlisten im lokalen flüchtigen Speicher gespeichert, sodass der VPN-Konzentrator den Sperrstatus von Zertifikaten schneller überprüfen kann.

    Bei aktiviertem CRL-Caching prüft der VPN Concentrator zunächst, ob die erforderliche CRL im Cache vorhanden ist, und vergleicht die Seriennummer des Zertifikats mit der Liste der Seriennummern in der CRL, wenn der Sperrstatus eines Zertifikats überprüft werden muss. Das Zertifikat gilt als gesperrt, wenn seine Seriennummer gefunden wird. Der VPN-Konzentrator ruft eine Zertifikatsperrliste von einem externen Server ab, wenn die erforderliche Zertifikatsperrliste nicht im Cache gefunden wird, die Gültigkeitsdauer der zwischengespeicherten Zertifikatsperrliste abgelaufen ist oder die konfigurierte Aktualisierungszeit abgelaufen ist. Wenn der VPN-Konzentrator eine neue Zertifikatsperrliste von einem externen Server empfängt, aktualisiert er den Cache mit der neuen Zertifikatsperrliste. Der Cache kann bis zu 64 CRLs enthalten.

    Hinweis: Der Sperrlisten-Cache ist im Arbeitsspeicher vorhanden. Wenn Sie den VPN Concentrator neu starten, wird der Zertifikatsperrlisten-Cache gelöscht. Der VPN Concentrator füllt den CRL-Cache mit aktualisierten CRLs neu auf, während er neue Peer-Authentifizierungsanforderungen verarbeitet.

    Wenn Sie Statische Zertifikatsperrlisten-Verteilungspunkte verwenden auswählen, können Sie bis zu fünf statische Zertifikatsperrlisten-Verteilungspunkte verwenden, wie in diesem Fenster angegeben. Wenn Sie diese Option auswählen, müssen Sie mindestens eine URL eingeben.

    Sie können auch CRL-Verteilungspunkte verwenden aus dem zu überprüfenden Zertifikat oder Statische CRL-Verteilungspunkte verwenden auswählen. Wenn der VPN Concentrator nicht fünf CRL-Verteilungspunkte im Zertifikat finden kann, fügt er bis zu fünf statische CRL-Verteilungspunkte hinzu. Wenn Sie diese Option auswählen, aktivieren Sie mindestens ein CRL Distribution Point Protocol. Sie müssen außerdem mindestens einen (und höchstens fünf) statischen CRL-Verteilungspunkt eingeben.

    Wählen Sie Keine Sperrlistenprüfung aus, wenn Sie die Sperrlistenprüfung deaktivieren möchten.

    Aktivieren Sie unter CRL-Zwischenspeicherung das Kontrollkästchen Aktiviert, damit der VPN-Konzentrator abgerufene CRLs zwischenspeichern kann. Standardmäßig wird die Sperrlisten-Zwischenspeicherung nicht aktiviert. Wenn Sie die Sperrlisten-Zwischenspeicherung deaktivieren (deaktivieren Sie das Kontrollkästchen), wird der Sperrlisten-Cache gelöscht.

    Wenn Sie eine CRL-Abrufrichtlinie konfiguriert haben, die CRL-Verteilungspunkte aus dem überprüften Zertifikat verwendet, wählen Sie ein Verteilungspunktprotokoll aus, das zum Abrufen der CRL verwendet werden soll. Wählen Sie in diesem Fall HTTP aus, um die Sperrliste abzurufen. Weisen Sie dem Filter für die öffentliche Schnittstelle HTTP-Regeln zu, wenn sich der CA-Server in Richtung der öffentlichen Schnittstelle befindet.

    crl-http-vpn3k-12.gif

Überwachung

Wählen Sie Administration > Certificate Management aus, und klicken Sie auf View All CRL caches (Alle CRL-Caches anzeigen), um zu überprüfen, ob Ihr VPN Concentrator CRLs vom CA-Server zwischengespeichert hat.

Überprüfung

Diese Abschnitt enthält Informationen, mit denen Sie überprüfen können, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Protokolle von Concentrator

Aktivieren Sie diese Ereignisse im VPN Concentrator, um sicherzustellen, dass die Zertifikatsperrlisten-Prüfung funktioniert.

  1. Wählen Sie Configuration > System > Events > Classes, um die Protokollierungsebenen festzulegen.

  2. Wählen Sie unter Klassenname entweder IKE, IKEDBG, IPSEC, IPSECDBG oder CERT aus.

  3. Klicken Sie entweder auf Hinzufügen oder auf Ändern, und wählen Sie die Option 1-13 für den Schweregrad zu protokollieren aus.

  4. Klicken Sie auf Anwenden, wenn Sie den Eintrag ändern möchten, oder auf Hinzufügen, wenn Sie einen neuen Eintrag hinzufügen möchten.

Erfolgreiche Konzentrator-Protokolle

Wenn die Zertifikatsperrlisten-Überprüfung erfolgreich war, werden diese Meldungen in den filtrierbaren Ereignisprotokollen angezeigt. 

1315 08/15/2002 13:11:23.520 SEV=7 CERT/117 RPT=1 
The requested CRL was found in cache.
The CRL Distribution point is: http://jazib-pc/CertEnroll/jazib-ca-ra.crl

1317 08/15/2002 13:11:23.520 SEV=8 CERT/46 RPT=1
CERT_CheckCrl(62f56e8, 0, 0)

1318 08/15/2002 13:11:23.520 SEV=7 CERT/2 RPT=1
Certificate has not been revoked: session = 2

1319 08/15/2002 13:11:23.530 SEV=8 CERT/50 RPT=1 
CERT_Callback(62f56e8, 0, 0)

1320 08/15/2002 13:11:23.530 SEV=5 IKE/79 RPT=2 64.102.60.53 
Group [ipsecgroup]
Validation of certificate successful
(CN=client_cert, SN=61521511000000000086)

Die vollständige Ausgabe eines erfolgreichen Konzentratorprotokolls finden Sie unter Successful Concentrator Logs (Erfolgreiche Konzentratorprotokolle).

Fehlgeschlagene Protokolle

Wenn die CRL-Anmeldung nicht erfolgreich war, werden diese Meldungen in den filtrierbaren Ereignisprotokollen angezeigt. 

1332 08/15/2002 18:00:36.730 SEV=7 CERT/6 RPT=2
Failed to retrieve revocation list: session = 5

1333 08/15/2002 18:00:36.730 SEV=7 CERT/114 RPT=2 
CRL retrieval over HTTP has failed. Please make sure that proper filter rules
have been configured.

1335 08/15/2002 18:00:36.730 SEV=7 CERT/8 RPT=2
Error processing revocation list: session = 5, reason = Failed to retrieve CRL 
from the server.

Die vollständige Ausgabe eines fehlgeschlagenen Konzentratorprotokolls finden Sie unter Revoked Concentrator Logs (Zurückgewiesene Konzentratorprotokolle).

Unter Erfolgreiche Client-Protokolle finden Sie die vollständige Ausgabe eines erfolgreichen Client-Protokolls.

Die vollständige Ausgabe eines fehlgeschlagenen Clientprotokolls finden Sie unter Revoked Client Logs (Zurückgewiesene Clientprotokolle).

Fehlerbehebung

Weitere Informationen zur Fehlerbehebung finden Sie unter Beheben von Verbindungsproblemen auf dem VPN 3000 Concentrator.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
15-Aug-2002
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren