No CRL available to verify the Recocation status of the Received certificate in IKE

[openca]

CERT PAYLOAD :: No CRL available to verify the Revocation status of the Received certificate in IKE phase-1 msg

So lautet die Meldung im Netgear ProSafe FVS 338 mit Firmware 1.6.47 wenn man dort unter VPN Status nachschaut.

Interator geht noch von I2 zu I3 und sagt nach "malformated packet..."

Sowohl die CA also auch das eigene Certificat wurde auf die gleiche Art und Weise erzeugt. Die Art und Weise funktioniert problemlos mit einem Cisco Concentrator und einem OpenSwan/FreeSwan. (Natürlich mit anderem Subject - keine Sonderzeichen nur Buchstaben und in der EMAIL ".@" )

CA und Certificat werden auch unter CA und Certificate im Netgear angezeigt, wie erwartet. IKE: Encryption=3des, Hash=sha, DH=2, ESP: 3DES, SHA1 und IKE_LIFE sind auf beiden Seiten identisch. Beide sprechen ja bis dahin auch miteinander.

Auf einem ganz normalen CISCO und auch beim Interrator kann man ja sagen, das er CRL s nicht berücksichtigen soll bzw. solange nicht wirklich revoke gefunden ist das Certificat gültig. Die Uhrzeit und Datum auf beiden sind ok. Certificate liegen von der Zeit im Gültigkeits Zeitraum.

Braucht der Netgear unbedingt eine CRL ? Mit dem Ethereal habe ich gesnifft. Er versucht auch nicht auf die CRL, die im Certificat ja mit drin steht zu zu greifen (per HTTP). Nach dem Einschalten holt er sich zuerst die Zeit per NTP (ist ok) und dann spricht er nur noch auf UDP 500 mit Interator.

Wenn ich nichts überlesen habe, steht weder in Kapitel 21 was davon, das der Netgear eine CRL benötigt, noch bei Netgear in der VPN Anleitung frisch von Januar 2006.

[Thomas Jarosch]

Hallo,

uns ist nicht bekannt, daß der Netgear zwingend eine CRL benötigt. Im Zweifel mal beim Netgear Support nachfragen.

Herzliche Grüsse,
Thomas Jarosch

P.S.: Unser Produkt heisst Intranator...