Konfiguration Der Crl-Funktion - Lancom Systems LCOS 9.10 Referenzhandbuch

Da sich das Zertifikat selbst beim Mitarbeiter befindet und nicht verändert werden kann, wird eine Zertifikatsperrliste
verwendet. In einer solchen Zertifikatsperrliste (Certificate Revocation List – CRL), wie sie z. B. von der Microsoft CA oder
von OpenSSL unterstützt werden, sind die ungültigen Zertifikate eingetragen. Die CRL wird auf einem geeigneten Server
bereitgestellt. Die URL, von der ein Router die CRL in seinen Speicher laden kann, wird im Root-Zertifikat des VPN-Routers
und/oder in der Konfiguration des Geräts selbst eingetragen.
Die CRL wird von der CA regelmäßig erneuert, damit Änderungen in der CRL durch zurückgezogene Zertifikate von den
VPN-Routern rechtzeitig erkannt werden können. Beim Aufsetzen der CA wird üblicherweise eine Zeitspanne festgelegt,
nach der die CRL regelmäßig erneuert werden soll. Nach dem Erneuern der CRL und der Ablage der CRL auf dem Server
(manuell oder automatisiert) muss der VPN-Router diese neuen Informationen aktualisieren. Dazu liest der Router die
Gültigkeitsdauer der CRL aus und versucht kurz vor deren Ablauf eine aktuelle CRL zu laden. Alternativ kann auch ein
regelmäßiges Update – unabhängig von der Gültigkeitsdauer der CRL – in einem Router definiert werden.
Beim Verbindungsaufbau prüft der VPN-Router, ob das Zertifikat der Gegenstelle in der aktuellen CRL enthalten ist. So
können Verbindungen zu Gegenstellen mit ungültigen Zertifikaten abgelehnt werden.

Konfiguration der CRL-Funktion

Bei der Konfiguration der CRL-Funktion werden neben dem Pfad der CRL zusätzliche Parameter wie das Update-Intervall
angegeben.
Konfigurationstool Aufruf
LANconfig Zertifikate / CRL-Client
WEBconfig, Telnet LCOS-Menübaum > Setup > Zertifikate > CRLs
1
CRL-Funktionalität [Default: Aus]
2
Aktiviert: Bei Prüfung eines Zertifikats wird die CRL (falls vorhanden) ebenfalls herangezogen.
5
Wenn diese Option aktiviert ist und keine gültige CRL gefunden werden kann, weil z. B. der Server nicht
erreichbar ist, werden alle Verbindungen abgelehnt und bestehende Verbindungen unterbrochen.
1
Alternative URL benutzen [Default: Nein]
2 Nein: Es wird nur die im Root-Zertifikat angegebene URL verwendet.
2
Ja, immer: Die alternative URL wird immer benutzt, auch wenn im Root-Zertifikat eine URL eingetragen ist.
2 Ja, alternativ: Die alternative URL wird nur benutzt, wenn im Root-Zertifikat keine URL eingetragen ist.
1
Alternative URL
2 Diese URL kann (alternativ) benutzt werden, um eine CRL abzuholen.
1
Abruf vor Ablauf [Default: 300 Sekunden]
2 Der Zeitpunkt vor dem Ablauf der CRL, ab dem versucht wird, eine neue CRL zu laden. Dieser Wert wird um einen
Zufallskomponente erhöht, um gehäufte Anfragen an den Server zu vermeiden. Be Erreichen dieses Zeitpunkts
wird ein evtl. aktiviertes regelmäßiges Update angehalten.
Referenzhandbuch
10 Virtual Private Networks - VPN
637