Inhaltsverzeichnis
Werbung
Referenzhandbuch
10 Virtual Private Networks - VPN
Zeigt den Inhalt des Root-Zertifikats.
1
show vpn cert
Zeigt den Inhalt des eigenen Geräte-Zertifikats.
5
Die Relative Distinguished Names werden in dieser Darstellung bis Firmware-Version 6.00 in umgekehrter
Reihenfolge, ab Firmware-Version 6.10 in der üblichen Reihenfolge angezeigt!
10.7.24 OCSP Client zur Zertifikatsüberprüfung
Einleitung
Das Online Certificate Status Protocol (OCSP) bietet eine Möglichkeit, den Status von Zertifikaten z. B. für den Aufbau
von VPN-Verbindungen zu prüfen. Die Geräte nutzen dieses Protokoll, um zu untersuchen, ob der Herausgeber das
verwendete Zertifikat evtl. schon vor dem Ablauf der Gültigkeit gesperrt und damit als ungültig markiert hat.
Der Herausgeber der Zertifikate pflegt den Status aller herausgegebenen Zertifikate auf einem speziellen Server, dem
OCSP-Responder. Der OCSP-Client (also z. B. ein VPN-Router, der eine Verbindung aufbauen möchte) sendet einen
OCSP-Request über das HTTP-Protokoll an den Responder, um den Status des Zertifikats zu ermitteln. Der Responder
beantwortet diese Anfrage mit einer signierten Antwort, die der OCSP-Client auf ihre Gültigkeit hin prüft. Die Antwort
des OCSP-Responders beschreibt einen der folgenden Zustände:
1
good: Das überprüfte Zertifikat ist nicht gesperrt.
1
evoked: Das überprüfte Zertifikat ist gesperrt und darf für den Aufbau von VPN-Verbindungen nicht mehr genutzt
werden.
1
unknown: Der OCSP-Responder kann den Status des Zertifikats nicht ermitteln, z. B. weil der OCSP-Responder den
Herausgeber des Zertifikates nicht kennt oder weil das Zertifikat gefälscht und damit nicht in der Datenbasis des
OCSP-Responders eingetragen ist.
Sie können das OCSP als Ergänzung oder als Ersatz für die Überprüfung der Zertifikate mit Zertifikatfsrückruflisten
(Certificate Revocation Lists – CRL) verwenden. OCSP bietet gegenüber dem Ansatz der CRL folgende Vorteile:
1
Die Herausgeber erstellen die CRLs in bestimmten zeitlichen Intervallen und sorgen idealerweise für die Verteilung
der CRLs in die Geräte, welche die Zertifikate für den Aufbau der VPN-Verbindungen einsetzen. Die Zuverlässigkeit
dieser Überprüfung ist daher an die zeitliche Aktualisierung der CRLs in den Geräten gekoppelt. Die Überprüfung
der Zertifikate mit Hilfe eines OCSP-Responders ist dagegen immer "online", also automatisch auf dem aktuellen
Stand. Der Betreiber des OCSP-Responders kann die dort vorgehaltenen Daten z. B. über eine automatische
Synchronisierung mit den Daten der CA oder CAs abgleichen und so für einen jederzeit aktuellen Stand sorgen.
1
Die Prüfung der Zertifikate gegen die Zertifikatfsrückruflisten belastet insbesondere bei großen CRLs den Speicher
der Geräte. Die Abfrage des Zertifikatsstatus von einem OCSP-Responder ist dagegen unabhängig von der Anzahl
der verwendeten CAs und Zertifikate und daher besser skalierbar.
1
Das CRL-Verfahren liefert bei unbekannten Zertifikaten kein Ergebnis – damit kann dieses Verfahren keine gefälschten
Zertifikate erkennen. Der OCSP-Responder beantwortet je nach Konfiguration die Anfrage nach unbekannten
Zertifikaten mit einer negativen Bewertung.
10.8 Mehrstufige Zertifikate für SSL/TLS
Neu mit LCOS 7.6:
1
Mehrstufige Zertifikate für SSL/TLS
640
Werbung
Inhaltsverzeichnis
