Hallo Community,
ich habe ein Verständnisproblem was mir beim ändern der SSL VPN Settings aufgefallen ist.
Ich habe 2 Astaros, eine Frontend und eine Backend. Auf der Backend waren alle SSL VPN Zugänge drauf. Da auf der ersten Astaro nix mit Zertifikaten läuft, habe ich dort die CA importiert von der 2ten und das Server Zertifikat für den SSL VPN Server. Ich habe alle User neu anlegen lassen. So haben alle User ein neugeneriertes User Zertifikat bekommen. Das was ich aber nicht verstehe ist. Warum ich mit meinem alten SSL VPN Packet und altem Zertifikat noch anmelden kann am SSL VPN Gateway. Prüft die Astaro das Userzertifikat nicht gegen? Weil wenn jetzt einer so ein SSL VPN Paket klaut mit CA crt, User crt und key... steht ja in dem User crt der Username drinnen, so kann er theoretisch mit Bruteforce das ja knacken.
Kommt jetzt ein neuer User mit dem gleichen Namen ins unternehmen, dann gelten ja beide Zertifikate noch weil die CA ja gleich ist.
Kann man denn in der Astaro mit Sperrlisten arbeiten oder dem SSL VPN beibringen, das er das User Zertifikat gegen prüft? Find das irgendwie unsicher?
Leider steht in der Admin Hilfe überhauptnix über die Zertifikatsverwaltung drinnen, kann mir jemand erklären für was der Punkt Sperrlisten überhaupt nutzbar ist, wenn man bei der localen CA keine nutzen kann?
Kann man denn sich eine Zwischenzertifizierungsstelle uploaden von einer Micrsoft PKI infastruktur und dann darüber User Certs erstellen, so das auch eine crl drinnen steht?
Hoffe ihr habt mich verstanden und könnt ein paar Sachen fachgerecht beantworten.
Gruß Linde
This thread was automatically locked due to age.
Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.
