Ungültige Signatur in der CRL

tbc233 · Beitrag von **tbc233** » 25 Aug 2008, 16:25

Hallo,

Habe zwei Lancom1711 mit Zertifikaten gekoppelt (Zertifikatsverwaltung mach ich via xca). Funktioniert grundsätzlich prima.

Nun wollte ich erstmals die CRL Funktion testen. Ich hab also von XCA eine CRL generien lassen (es gibt vorerst keine Rücknahmen) und auf einen Webserver hochgeladen, URL ins Lancom eingetragen (Immer AlternativURL verwenden). Im LanMonitor wurde dann auch angezeigt, dass der CRL Status OK ist.

Allerdings funktionierte dann der Verbindungsaufbau nicht mehr. Fehlermeldung im LanMonitor: Ungültige Signatur in der CRL.

Im vpn-status stellt sich das so dar:

Code: Alles auswählen

IKE log: 161845 Default OpenSSL: 1:error:0D07908D:asn1 encoding routines:ASN1_verify:unknown message digest algorithm:a_verify.c:92:


[VPN-Status] 2008/08/25 16:18:45,630
IKE log: 161845 Default x509_cert_validate: CRL signature failure


[VPN-Status] 2008/08/25 16:18:45,630
IKE log: 161845 Default rsa_sig_decode_hash: received CERT can't be validated

Weiß jemand, was ich da falsch gemacht habe?

alf29 · Beitrag von **alf29** » 25 Aug 2008, 17:38

Moin,

Was für einen Signaturalgorithmus verwendet Deine CRL
denn? Wenn da irgendwelche neueren Sachen wie
SHA >= 256 oder elliptische Kurven verwendet werden,
dürfte das auf einem LANCOM nicht klappen - dafür ist
die OpenSSL im LCOS zu alt...

Gruß Alfred

tbc233 · Beitrag von **tbc233** » 25 Aug 2008, 17:45

Tu ich mir schwer zu sagen, ich exportier die Liste aus xca als PEM und fertig. xca hat aber zumindest in den Optionen als Default Hash Algorithm SHA-256 eingestellt, das sollte also passen. Wie gesat, laut LanMonitor ist der CRL-Status auch "OK".

Die CRL liegt übrigens hier: Test-CRL

backslash · Beitrag von **backslash** » 25 Aug 2008, 18:32

Hi tbc233

Default Hash Algorithm SHA-256 eingestellt, das sollte also passen

das ist ganau das, was nicht funktioniert. siehe Alfs Post:

Wenn da irgendwelche neueren Sachen wie
SHA >= 256 oder (...) verwendet werden

SHA 256 funktioniert halt nicht

Gruß
Backslash

tbc233 · Beitrag von **tbc233** » 25 Aug 2008, 19:14

ah - sorry. Hab das = überlesen und dachte es ist größer als 256 gemeint. Leider ist das Verhalten mit MD5 oder SHA1 das selbe.

Und das obwohl die CRL offenbar durchaus erfolgreich übernommen wird:

Code: Alles auswählen

[VPN-Status] 2008/08/25 19:12:32,930
IKE info: CRL: new: No Revoked Certificates.



[VPN-Status] 2008/08/25 19:12:32,940
IKE info: CRL: new: our time is: Aug 25 17:12:32 2008 GMT



[VPN-Status] 2008/08/25 19:12:32,940
IKE info: CRL: new: next update is: Sep 24 17:11:18 2008 GMT



[VPN-Status] 2008/08/25 19:12:32,940
IKE info: CRL: new: last update is: Aug 25 17:11:18 2008 GMT



[VPN-Status] 2008/08/25 19:12:32,940
IKE info: CRL: new CRL installed