blog.andreas-schreiner.de

Wissen ist Macht. Nichts wissen macht nichts.

Zertifikatsperrlisten (CRLs) über LDAP Distribution Points aktualisieren

von · Veröffentlicht · Aktualisiert

FortiOS bietet mehrere Distribution Point Optionen für CRLs. Da sich die meisten internen CAs in einer Microsoft Domänen-Infrastruktur befinden und die meisten Enterprise CAs auch LDAP als CRL Distribution Point konfiguriert haben, konfigurieren wir diese Option im Folgenden.

Ein Zertifikat der CA ist bereits importiert und ggf. der Friendly Name angepasst. Ein Admin-Account für den Zugriff auf das LDAP haben wir ebenfalls bereits angelegt.

LDAP Server

Als erstes benötigen wir ein LDAP Server Objekt in FortiOS.

config user ldap
 edit "<CA-Name>-CRL-LDAP"
  set server "<Domain-Controller-IP/-Name>"
  set cnid "cn"
  set dn "CN=<CA-Name>,CN=<CA-Servername>,CN=CDP,CN=Public Key Services,CN=Service,CN=Configuration,DC=<Domain>,DC=<Domain>"
  set port 636
  set secure ldaps
  set ca-cert "<CA-Cert-Name>"
 next
end
CRL

Im zweiten Schritt legen wir ein CRL Objekt in FortiOS an und konfigurieren den Aktualisierungsintervall (hier: alle 24 Stunden).

config vpn certificate crl
 edit "<CA-Name>-CRL"
  set ldap-server "<CA-Name>-CRL-LDAP"
  set ldap-username "CN=<LDAP-Account>,OU=<User-OU>,DC=<Domain>,DC=<Domain>"
  set ldap-password <LDAP-Password>
  set update-interval 86400
 next
end
Verifzierung

Nach der Konfiguration lässt sich prüfen, ob die CRL aktualisiert wird:

config vpn certificate crl
 edit "<CA-Name>-CRL"
  get
end

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.