SCEP-CA schreibt falschen Verteilungspunkt (Distribution-Point) in die Zertifikate [gelöst]

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Fully
Beiträge: 113
Registriert: 19 Apr 2007, 13:40

SCEP-CA schreibt falschen Verteilungspunkt (Distribution-Point) in die Zertifikate [gelöst]

Beitrag von Fully »

Moin,

Die SCEP-CA schreibt einen falschen Verteilungspunkt (Distribution-Point) in die Zertifikate.

Voraussetzung:
a) CRL ist aktiviert,
b) CA ist ungleich Lancom-Systems,
c) Daten unter "Certificate-Revocation-Lists" sind ungleich default.

Gegeben sind folgende Daten zur CRL:

Code: Alles auswählen

CRL-Distribution-Point-Hostname  VALUE:   "Hostname.Domain.de"
CRL-Update-Interval              VALUE:   86400
Protocol                         VALUE:   HTTPS

Die CA trägt dann in ein Zertifikat folgenden Verteilungspunkt ein:

Code: Alles auswählen

http://Hostname.Domain.de//crl/current.crl
Fehlerhaft sind hier sowohl das Protokoll, als auch das "//" vor crl/current.crl

Unter diesem Verteilungspunkt kann die CRL erwartungsgemäß nicht abgerufen werden, in der CRL-Liste steht:

Code: Alles auswählen

http://Hostname.Domain.de//crl/current.crl   HTTPC_PROT_ERR
Die CRL selbst kann aber sehr wohl unter den korrekten Verteilungspunkten erreicht werden:

Code: Alles auswählen

https://Hostname.Domain.de/crl/current.crl
oder
https://172.16.100.242/crl/current.crl
Die CRL wird also wie gewünscht angelegt. Der Fehler passiert beim Übertrag in das Zertifkiat, wobei es egal ist, ob unter "Protocol" http oder https angegeben wird. Der Fehler wird bei https nur umfassender.

Das Problem besteht mindestens in den Betas 146 und 151 der 10.30. Möglicherweise besteht es schon länger. Die letzte Version, bei der ich sicher eine korrekte CRL im Zertifikat nachvollziehen kann, ist die 10.20.0336. Kann das jemand bestätigen? Mich wundert, dass es erst jetzt auffällt.
Mir ist es bisher nie aufgefallen, weil ich seit Urzeiten immer die CRL direkt als alternative URL eingetragen habe. Damit wird bei gleicher CA der Fehler lokal überdeckt und nur eine CRL gelistet. Im Zertifikat ist der Verteilungspunkt natürlich weiterhin falsch.
Damit mault etwa der NCP-VPN-Client zurecht an der CRL rum.

Gruß Fully
Zuletzt geändert von Fully am 09 Aug 2019, 13:34, insgesamt 1-mal geändert.
Fully
Beiträge: 113
Registriert: 19 Apr 2007, 13:40

Re: SCEP-CA schreibt falschen Verteilungspunkt (Distribution-Point) in die Zertifikate

Beitrag von Fully »

Der Fehler ist mit der 10.30 RU1 beseitigt.
Der Pfad stimmt, https geht auch.

:D
Antworten