Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    CRL Liste mit IPSEC benutzen

    Deutsch
    2
    4
    964
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      tino.kurth
      last edited by

      Hallo zusammen,

      ich habe ein Problem.
      Ich habe eine externe CA Autorität.
      Das Zertifikat ist in der pfsense hinterlegt, der Schlüssel ebenso.
      Auf der externen CA habe ich nun eine Revocation Liste erstellt. Die habe ich auf der pfsense importiert.
      Bisher ist alles gut.
      Wenn ich jedoch jetzt versuche, mich mit einem gesperrten Zertifikat zu verbinden, funktioniert dies noch. Die crl hat eine Lebenszeit von 1 Jahr.
      Ich kann ebenso die crl neu einlesen (mit ipsec rereadcrls) und kann diese auch wieder ausgeben lassen (mit ipsec listcrls).
      Mit openssl habe ich mir auch die Einträge ausgeben lassen. Hier ist auch die Seriennummer von meinem gesperrten Zertifikat dabei.
      Wie im angehängten Bild zu sehen, ist die CRL laut Cert Manager nicht aktiv. Warum konnte ich bisher nicht herausfinden.

      Leider greift die CRL einfach nicht. Das datum ist ebenso richtig.

      Hat jemand einen Tipp für mich?

      Vielen Dank!

      Tino
      CRL.PNG
      CRL.PNG_thumb

      1 Reply Last reply Reply Quote 0
      • T
        tino.kurth
        last edited by

        Hallo zusammen,

        kann mir denn keiner einen Tipp geben?

        Es ist eigenartig, warum die CRL laut Cert Manager nicht in Benutzung ist.

        Vielen Dnak!

        Viele Grüße
        Tino

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          Der Cert Manager sieht nur die Benutzung, wenn es bspw. via OpenVPN genutzt wird. Meines Wissens ist das bei IPSec nicht möglich bzw. einstellbar. Statt dessen wird die CRL über die in der CA hinterlegte URL abgerufen und ausgewertet sofern verfügbar. Mehr dazu war bspw. auch hier zu lesen:

          https://forum.pfsense.org/index.php?topic=88182.0

          Die URL der CRL sollte also dergestalt sein, dass die Firewall sie erreichen kann, dann kann die CRL auch extern sein und abgerufen werden.

          Grüße

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • T
            tino.kurth
            last edited by

            Hallo JeGr,

            vielen Dank für die Info.
            Ich kann das aber nicht ganz nachvollziehen.
            Leider sind die Zertifikate (mehrere 1000) schon alle erstellt und in der CA ist bisher nicht die URL für die crl hinterlegt.
            Dass es funktioniert, kann ich mit Gewissheit sagen, weil ich es mit einem Ubuntu so realisiert habe. Nur leider klappt das so mit freeBSD anscheinend nicht.

            Gibt es nicht eine andere Möglichkeit, die CRL zu benutzen?

            Vielen Dank

            Viele Grüße
            Tino

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.