Zertifikat für Lancom

[eddia]

Hallo,

es wäre ganz nett, wenn der Lancom sein Gerätezertifikat selbst per PKCS#10 anfordern könnte. Damit entfällt zum einen die umständliche Prozedur zum Erzeugen und Einspielen des Zertifikats, zum anderen würde der private Schlüssel des Zertifikats nie den Lancom verlassen müssen. Zudem könnte er bei bevorstehendem Ablauf des Zertifikates selbstständig sein Zertifikat erneuern.

Dann wäre es noch erforderlich, mehrere Root-CA Zertifikate hinterlegen zu können, damit sich auch User mit Zertifikaten unterschiedlicher ausstellender CAs am Lancom anmelden können.

Und eine CRL bzw. noch besser die Abfrage des CRL-Points wäre dringend angebracht.

Gruß

Mario

[alf29]

Und eine CRL bzw. noch besser die Abfrage des CRL-Points wäre dringend angebracht.

...paßt zusammen mit weiteren Zertifikaten aber leider nicht in das momentan benutzte
Flash-Filesystem, was zum einen recht klein ist (~typisch 128K) und maximal 256 Dateien
verwalten kann. Ein größeres und leistungsfähiges Flash-Filesystem steht zwar auf der
Wunschliste, aber wann das mal kommt...

Bezüglich CRLs soll da wohl in absehbarer Zeit eine Lösung kommen, daß sich das Gerät
die CRL beim Booten von einem (externen HTTP-)Server holen und ins RAM legen soll.

Gruß Alfred

[eddia]

Hallo Alfred,

Bezüglich CRLs soll da wohl in absehbarer Zeit eine Lösung kommen, daß sich das Gerät
die CRL beim Booten von einem (externen HTTP-)Server holen und ins RAM legen soll.

mir ist schon klar, dass die Ressourcen des Lancoms begrenzt sind. Bezüglich der CRL müsste aber noch nicht mal die von Dir beschriebene Variante realisiert werden. Es würde einfach ausreichen, wenn der Lancom bei der Prüfung eines eingehenden Clientzertifikates direkt den im Zertifikat angegebenen CRL-Point kontaktiert, um auf die Zurückziehung des Zertifikates zu prüfen. Hätte auch den Vorteil, dass das Zurückziehen eines Zertifikates sofort bemerkt würde. So oft boote ich meine Lancoms nicht.

Gruß

Mario