CRL Liste mit IPSEC benutzen



  • Hallo zusammen,

    ich habe ein Problem.
    Ich habe eine externe CA Autorität.
    Das Zertifikat ist in der pfsense hinterlegt, der Schlüssel ebenso.
    Auf der externen CA habe ich nun eine Revocation Liste erstellt. Die habe ich auf der pfsense importiert.
    Bisher ist alles gut.
    Wenn ich jedoch jetzt versuche, mich mit einem gesperrten Zertifikat zu verbinden, funktioniert dies noch. Die crl hat eine Lebenszeit von 1 Jahr.
    Ich kann ebenso die crl neu einlesen (mit ipsec rereadcrls) und kann diese auch wieder ausgeben lassen (mit ipsec listcrls).
    Mit openssl habe ich mir auch die Einträge ausgeben lassen. Hier ist auch die Seriennummer von meinem gesperrten Zertifikat dabei.
    Wie im angehängten Bild zu sehen, ist die CRL laut Cert Manager nicht aktiv. Warum konnte ich bisher nicht herausfinden.

    Leider greift die CRL einfach nicht. Das datum ist ebenso richtig.

    Hat jemand einen Tipp für mich?

    Vielen Dank!

    Tino



  • Hallo zusammen,

    kann mir denn keiner einen Tipp geben?

    Es ist eigenartig, warum die CRL laut Cert Manager nicht in Benutzung ist.

    Vielen Dnak!

    Viele Grüße
    Tino


  • Moderator

    Der Cert Manager sieht nur die Benutzung, wenn es bspw. via OpenVPN genutzt wird. Meines Wissens ist das bei IPSec nicht möglich bzw. einstellbar. Statt dessen wird die CRL über die in der CA hinterlegte URL abgerufen und ausgewertet sofern verfügbar. Mehr dazu war bspw. auch hier zu lesen:

    https://forum.pfsense.org/index.php?topic=88182.0

    Die URL der CRL sollte also dergestalt sein, dass die Firewall sie erreichen kann, dann kann die CRL auch extern sein und abgerufen werden.

    Grüße



  • Hallo JeGr,

    vielen Dank für die Info.
    Ich kann das aber nicht ganz nachvollziehen.
    Leider sind die Zertifikate (mehrere 1000) schon alle erstellt und in der CA ist bisher nicht die URL für die crl hinterlegt.
    Dass es funktioniert, kann ich mit Gewissheit sagen, weil ich es mit einem Ubuntu so realisiert habe. Nur leider klappt das so mit freeBSD anscheinend nicht.

    Gibt es nicht eine andere Möglichkeit, die CRL zu benutzen?

    Vielen Dank

    Viele Grüße
    Tino