Hallo Community,
ich habe auf einem W2K3-E einen VPN-Server und eine Zertifizierungsstelle eingerichtet und per RAS-Richtlinie definiert, dass sich nur Benutzer mit Zertifikat einwählen dürfen. Wenn ich jetzt den Client entsprechend konfiguriere und ohne Zertifikat versuche, eine Verbindung aufzubauen, dann wird diese aufgrund eines fehlenden Zertifikates abgelehnt. Fordere ich dann über die certsrv-Seite des Zertifizierungsservers ein Zertifikat an und installiere dies, dann kommt die Verbindung zustande. Soweit korrekt...
Wenn ich jetzt aber in der Zertifizierungsstelle das Zertifikat sperre, dann ist auch weiterhin eine Einwahl möglich. Scheinbar prüft nur der Client, ob er ein Zertifikat hat, nicht der Server ob dieses gültig ist.
Kann mir jemand sagen, woran das liegt?

Schonmal besten Dank,
Grüße,
Hollaridoh

Äh, da war was mit "Revoke Certificate". Das muss man irgendwo konfigurieren, dass der Server dies prüft ob das Zertifikat in der Liste der revoked Certificates drinnesteht, u. den Verbindungsaufbau verhindern.

Jetzt frag mich bitte nicht, WIE u. WO man das konfiguriert. Ist ne Weile her.

Wir benutzen für VPN einen RSA Token sowie Cisco VPN Concentrator. Da muss der User seinen VPN Usernamen, seine geheime PIN sowie den aktuellen Token eingeben. Der Token ist ein kleines Hardwareteil das eine sich minütlich ändernde sechs stellige Zahl anzeigt. Diese Zahl ändert sich auch auf dem RSA Server minütlich, bzw. sie sind immer synchron. Diese Zahl ist letztendlich - in Verbindung mit dem PIN - das Passwort, das dem user Einlass gewährt.