Zertifikatsperrlisten (CRLs) über LDAP Distribution Points aktualisieren
FortiOS bietet mehrere Distribution Point Optionen für CRLs. Da sich die meisten internen CAs in einer Microsoft Domänen-Infrastruktur befinden und die meisten Enterprise CAs auch LDAP als CRL Distribution Point konfiguriert haben, konfigurieren wir diese Option im Folgenden.
Ein Zertifikat der CA ist bereits importiert und ggf. der Friendly Name angepasst. Ein Admin-Account für den Zugriff auf das LDAP haben wir ebenfalls bereits angelegt.
LDAP Server
Als erstes benötigen wir ein LDAP Server Objekt in FortiOS.
config user ldap edit "<CA-Name>-CRL-LDAP" set server "<Domain-Controller-IP/-Name>" set cnid "cn" set dn "CN=<CA-Name>,CN=<CA-Servername>,CN=CDP,CN=Public Key Services,CN=Service,CN=Configuration,DC=<Domain>,DC=<Domain>" set port 636 set secure ldaps set ca-cert "<CA-Cert-Name>" next end
CRL
Im zweiten Schritt legen wir ein CRL Objekt in FortiOS an und konfigurieren den Aktualisierungsintervall (hier: alle 24 Stunden).
config vpn certificate crl edit "<CA-Name>-CRL" set ldap-server "<CA-Name>-CRL-LDAP" set ldap-username "CN=<LDAP-Account>,OU=<User-OU>,DC=<Domain>,DC=<Domain>" set ldap-password <LDAP-Password> set update-interval 86400 next end
Verifzierung
Nach der Konfiguration lässt sich prüfen, ob die CRL aktualisiert wird:
config vpn certificate crl edit "<CA-Name>-CRL" get end
–