- PR -

Windowsのコンピュータ証明書を利用したIPSec

1
投稿者投稿内容
ニンニン
会議室デビュー日: 2006/09/30
投稿数: 2
投稿日時: 2006-09-30 16:37
Windowsでコンピュータ証明書を利用したL2TP/IPSecをテスト構築しています。

<環境>
サーバ1:VPNサーバ(Windows2003)
サーバ2:AD、CA(Windows2003)
クライアント:VPNクライアント(WindowsXP)

<現状>
コンピュータ証明書を用いたIPSecの接続は問題なく行えるのですが、
VPNクライアントが証明書が入っているPCを盗まれた場合を考え、
CAにて証明書の失効を行うのですが、その後もL2TP/IPSecの接続ができてしまいます。

<質問>
CAにてクライアントのコンピュータ証明書を失効にすると、VPNサーバは、
該当クライアントからのL2TP/IPSecの接続を受け付けないと考えていたのですが、
このような動作には、何か設定が必要なのでしょうか?

加納正和
ぬし
会議室デビュー日: 2004/01/28
投稿数: 332
お住まい・勤務地: 首都圏
投稿日時: 2006-09-30 22:12
引用:

ニンニンさんの書き込み (2006-09-30 16:37) より:
Windowsでコンピュータ証明書を利用したL2TP/IPSecをテスト構築しています。

<質問>
CAにてクライアントのコンピュータ証明書を失効にすると、VPNサーバは、
該当クライアントからのL2TP/IPSecの接続を受け付けないと考えていたのですが、
このような動作には、何か設定が必要なのでしょうか?



L2TP/IPSecでの設定はしたことがありませんが、、

http://technet2.microsoft.com/WindowsServer/ja/Library/ebcbc96d-b236-401d-a98b-91c965a3d18f1041.mspx?mfr=true

いわく

>Windows XP および Windows Server 2003 ファミリでは、IKE の証明書認証中に CRL が確認されますが、

とありますので、仕様は「CRLを確認する」ことだと思います。
まぁ

>netsh ipsec dynamic set config strongcrlcheck 0

にすでになってたり「しない」のを確認する必要はあるかと。

あと、「CRLを確認する」仕様であり、「CAにて失効処理をすると
接続できなくなる」仕様ではないことは注意する必要があると思うのですが。

問題は、「どこの」CRLを確認するかです。

おそらく、論理的には「サーバ1」(VPNサーバ)の「中」のCRLかと思います。。
違うのかな。VPNサーバがADの存在には気づき得ないでしょうし。

とゆーことで、一応、CAのCRLをVPNサーバにてダブルクリックして登録すれば
出来ると思います。

どうやって自動化するんだろう。。。

http://www.microsoft.com/japan/technet/security/bestprac/bpent/sec2/seconaa.mspx

とか

http://support.microsoft.com/default.aspx?scid=kb;ja;313197&sd=tech

とかですか。やったことはありませんが。


ニンニン
会議室デビュー日: 2006/09/30
投稿数: 2
投稿日時: 2006-10-02 14:32
加納様
早速の情報有難うございます。

>>netsh ipsec dynamic set config strongcrlcheck 0
の件ですが、本日、1であることを確認しました。

IPSec 構成パラメータ
------------------------------
StrongCRLCheck : 1

<情報更新>
9/30に、失効させた証明書を持ったコンピュータは、10/2に再度接続のテストをすると
繋がらなくなっていました。CAでの更新後にDelayがあるようですので、もう暫く調べてみます。サーバ1上のCRLの強制更新のような情報があれば、教えてください。
加納正和
ぬし
会議室デビュー日: 2004/01/28
投稿数: 332
お住まい・勤務地: 首都圏
投稿日時: 2006-10-02 22:32
引用:

ニンニンさんの書き込み (2006-10-02 14:32) より:

<情報更新>
9/30に、失効させた証明書を持ったコンピュータは、10/2に再度接続のテストをすると
繋がらなくなっていました。CAでの更新後にDelayがあるようですので、もう暫く調べてみます。サーバ1上のCRLの強制更新のような情報があれば、教えてください。



なるほど、そうきましたか。

ADが更新するCRLの時間が分からないですね。
すいません、そっちはよく分かりません(LDAPサーバとして、中身を
見ればいいわけですが)

でなけば、CRLのnext_updateですかね。
一日になってませんか。

CAで失効したあと発行するCRL(正確には、失効する前発行したCRL)
の次回更新時間が24時間だったりしないですか。

AD内のCRLと、コンピュータ内のCRLと、どっちが優先するのか、よく分からないですが、、、

#何度も言うようですが、私は逆にPKIの概念しか知りません。
#IPSecの設定および、操作はわかってないです。
1

スキルアップ/キャリアアップ(JOB@IT)