freeradius: wer benutzt die crl?

14/04/2010 - 03:55 von usenet-reply | Report spam
Hi,

weil ich selber gerade in diese "Falle" getappt bin und es in dem von
mir betreuten eisfair-Paket dann korrigieren will ...

... aber erst mal der Reihe nach:


Ich nutze freeradius für ein WLAN und nutze dafür Zertifikate.

Heute (ein Monat nach der Ersteinrichtung) wollte sich mein Laptop
nicht mehr anmelden.

Das Logfile auf meinem Server sagte mir, daß die certificate
revokation list abgelaufen ist. Kein Wunder, deren Haltbarkeit ist
auf 30 Tage eingestellt.


Also muß ich nun wohl die crl erneuern.


Aber wie eingangs erwàhnt, ist das nicht bloß eine private
Installation, sondern gleichzeitig ein eisfair-Paket, das ich
betreue, einfach mal bei mir manuell die crl erneuern hilft also den
anderen Nutzern nicht weiter.


Nun sehe ich zwei Möglichkeiten:

a) ich baue ein crl-Erneuerungs-Skript und erstelle dafür einen
cronjob

b) ich erhöhe die crl-Lebensdauer auf rund 2 Jahre, das ist die
vorgegebenen Radius-Server-Zertifikats-Lebensdauer im Paket.


eigentlich wàre mir b) lieber, ich frage mich aber, ob das Probleme
machen könnte. Dafür stellt sich mir folgende Frage:


Wer nutzt diese crl?


Einmal natürlich freeradius, um die Zertifikate von einloggenden
Supplicanten zu überprüfen. Da gibt es aber kein Problem mit der
langen Lebensdauer, weil die crl von den Skripten, mit denen der
Admin ein Cert revokt, gleich auch erneuert wird.


Bleibt aus meiner Sicht eigentlich nur ein Revoken des Server-Certs -
und ob die Supplicanten das dann per crl mitbekommen können.

nur: Bekommen bei einer Radius-Anmeldung die Supplicanten überhaupt
die crl irgendwie in ihre Finger?


Anders: Ist bei einer radius-PKI die crl für irgendjemand
außer dem radius-Server selber wichtig? (bei einer gewöhnlichen PKI
mit externen Vertrauenden ist mir die wichtige Funktion einer crl
für Dritte ja bewußt, aber hier?)



Oder: Übersehe ich vielleicht noch was ganz anderes?






Ciao, Stephan

E-Mail: stephan@manske-net.de - WWW: http://stephan.manske-net.de/ //
PGP 2.6.3i \X/
"Besser ein ""Original"" als ein Clo(w)n"
 

Lesen sie die antworten

#1 Juergen P. Meier
14/04/2010 - 09:28 | Warnen spam
Stephan Manske :
Nun sehe ich zwei Möglichkeiten:

a) ich baue ein crl-Erneuerungs-Skript und erstelle dafür einen
cronjob

b) ich erhöhe die crl-Lebensdauer auf rund 2 Jahre, das ist die
vorgegebenen Radius-Server-Zertifikats-Lebensdauer im Paket.

eigentlich wàre mir b) lieber, ich frage mich aber, ob das Probleme
machen könnte. Dafür stellt sich mir folgende Frage:


Wer nutzt diese crl?



Das ist nur eine der Fragen, die du dir zur qualitativen
Entscheidungsfindung (a oder b) stellen musst.

Die anderen Fragen lauten:

Wie wahrscheinlich ist es, dass du Zertifikate dieser PKI revozierst?
Wie schnell muss das revozieren von Zertifikaten ueberall bekannt sein
(wie lange darf ein revoziertes Zertifikat weiterhin benutzbar bleiben)?
Wie zuverlaessig ist deine PK-Infrastruktur bezueglich der
Automatismen zur Erstellung und Propagierung der CRL?

Einmal natürlich freeradius, um die Zertifikate von einloggenden
Supplicanten zu überprüfen. Da gibt es aber kein Problem mit der
langen Lebensdauer, weil die crl von den Skripten, mit denen der
Admin ein Cert revokt, gleich auch erneuert wird.



Gut. Wie oft? Wenn der Admin mal 3 Monate kein Zertifikat revoziert,
musst du das erneuern der CRL auf andere Art sicherstellen.

Bleibt aus meiner Sicht eigentlich nur ein Revoken des Server-Certs -
und ob die Supplicanten das dann per crl mitbekommen können.



Die Supplikanten ignorieren die CRL wohl hoffentlich. Prinzipiell.
(Denn bei WLAN TLS/EAP kann ein Supplikant vor akzeptanz des
Zertifikats mangels WLAN-VErbindung kaum auf einen
CRL-Distributionpoint zugreifen. Ein Henne-Ei-Problem).

nur: Bekommen bei einer Radius-Anmeldung die Supplicanten überhaupt
die crl irgendwie in ihre Finger?



Nein. Konzeptionell nicht.

Anders: Ist bei einer radius-PKI die crl für irgendjemand
außer dem radius-Server selber wichtig? (bei einer gewöhnlichen PKI



Wenn es ausschliesslich eine PKI nur fuer WLAN/RADIUS ist, nein.

mit externen Vertrauenden ist mir die wichtige Funktion einer crl
für Dritte ja bewußt, aber hier?)
Oder: Übersehe ich vielleicht noch was ganz anderes?



Wohl eher nicht.

PS: Lass die Finger von Intermediate-CA-Ketten bei 802.11i EAP-TLS.

Juergen
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Ähnliche fragen