none
IPsec Certificate Authentication RRS feed

  • Frage

  • Hi,

    nachdem ich nun div. Schritte weiter bin bin ich hoffentlich am letzten offenen Thema angelangt.

    Da ich meien CRL nicht nach extern publishen moechte habe ich mir ein IP-HTTPS-Certificate von Thawte besorgt.
    Als ich mir bei dem Cert die Chain angucken wollte ging dies nicht da: https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=SO15171&actp=search&viewlocale=en_US&searchid=1282614432001 

    Also habe ich das Thawte Intermediate File in die Intermediate Certificate Authorities kopiert. Die Chain sind gut aus.

    Als naechstes moechte der Wizard eine CA welche certificates fuer die IPsec Authentifizierung ausstellt.

    Wenn ich nun eine meiner 2 Intermediate CAs auswaehle so erscheint folgender Text:

    A computer certificate issied by the CA "DC=de, DC=domaene, CN=CA1'' could not be found on the server. To enable IPsec authentication, ensure that a computer certificate is installed on all array members.

    Wenn ich jedoch in die MMC unter Computer Zertifikate schaue so habe ich ein Zertifikat von dieser CA.

    Ich betreibe die UAGs im Array

    Auf jedem UAG habe ich ein Computerzertifkat ausgestellt von dieser CA:

    Augf UAG1:
    issued to: uag1.domaene.de
    Issuer: CN=CA1 DC=domaene DC=de
    Subject: leer
    Enhanced Key Usage: Server Authentication
    CRL Distribution Point ist ein interner Webserver sowie LDAP
    AIA das gleiche
    Subject Alternative Name: DNS Name=uag1.domaene.de

    vor dem SAN ist ein Ausrufezeichen

    Auf UAG2 das gleiche mit einem UAG2 Cert.

    Wenn ich mir vond em Cert die Chain angucke sieht die fuer mich ok aus.

    Leider finde ich auch nicht viel zu IPsec Zertifikate und UAG.

    Jemand eine Idee?

    Vielen Dank fuer die Hilfe!

    Freitag, 16. September 2011 08:14

Antworten

  • Hallo,

    Die Meldung kommt da das Zertifikat welches Du benutzt nicht gueltig ist fuer die IPsec authentication.
    Du hast scheinbar ein Zertifikat mit Server Authentication fuer die Enhanced Key Usage installiert.
    Du benoetigst jedoch die Client Authentication.
    Das Zertifikat sollte analog der Zertifikate auf Deinen Clients sein.

    Siehe hierzu:
    http://technet.microsoft.com/en-us/library/gg502563.aspx
    Planning computer certificates for the DirectAccess server and clients
    When you configure DirectAccess settings in the Forefront UAG Management console, the DirectAccess server and clients are configured by default to use certificates for IPsec authentication. The simplest way to install the required certificates it to configure group-policy based auto enrollment for computer certificates. This ensures that all domain members obtained a certificate from an enterprise CA. For more information, see Configure computer certificate autoenrollment in the TechNet library.

    Unter http://technet.microsoft.com/en-us/library/ee649166(WS.10).aspx findest Du hierzu folgendes:
    The default connection security rules use a computer certificate for Internet Protocol security (IPsec) peer authentication. This requires a certificate on DirectAccess clients, DirectAccess servers, and selected servers with either the Client Authentication or IP Security IKE Intermediate object identifier (OID). The easiest way to deploy certificates containing the Client Authentication OID to both DirectAccess clients and servers is to configure certificate autoenrollment for the built-in Computer Certificate template.

    Solltes es Dir nicht moeglich sein das Zertifikat direkt von der CA zu beziehen so gibt es noch folgende Moeglichkeit:
    Erstelle eine Datei IPSec.inf mit folgendem Inhalt:

    [Version]
    Signature="$Windows NT$"
    [NewRequest]
    Exportable = FALSE ; Private key is not exportable
    KeyLength = 2048 ; Common key sizes: 512, 1024, 2048, 4096, 8192, 16384
    KeySpec = 1 ; AT_KEYEXCHANGE
    KeyUsage = 0xA0 ; Digital Signature, Key Encipherment
    MachineKeySet = True ; The key belongs to the local computer account
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    SMIME = FALSE
    RequestType = CMC

    [Strings]
    szOID_SUBJECT_ALT_NAME2 = "2.5.29.17"
    szOID_ENHANCED_KEY_USAGE = "2.5.29.37"
    szOID_PKIX_KP_CLIENT_AUTH = "1.3.6.1.5.5.7.3.2"

    [Extensions]
    %szOID_SUBJECT_ALT_NAME2% = "{text}dns=hostname.contoso.com" ; set the FQDN of the UAG computer here!
    %szOID_ENHANCED_KEY_USAGE% = "{text}%szOID_PKIX_KP_CLIENT_AUTH%"

    Ersetze hostname.contoso.com durch den von Dir benutzten Namen.
    Fuehre anschliessend diesen Befehle aus:

    certreqnew IPsec.inf IPsec.req
    certreqsubmit IPsec.req

    Sollte der letzte Befehl nicht funktionieren (The RPC server is unvailable.) so blockiert Dir TMG die Verbindung zur CA. An dieser Stelle kannst Du z.B. den Request manuell der CA uebergeben z.B. ueber https://ca/certsrv ...
    Sobald Du das Zertifikat .cer hast kopiere es zurueck auf Deinen UAG-Server und fuehre

    Certreqaccept ZERTIFIKATSNAME.cer

    aus.

    Nun hast Du analog deinen Clients welche dies per Autoenrollment bekommen sollten ein Zertifikat welches fuer die IPsec authentication gueltig ist (Client Authentication)

    Waehle im Wizard nun Deine gewuenschte Intermediate CA oder RootCA aus und die Meldung sollte der Vergangenheit angehoeren.

    Gruss

    Wolfgang


    • Als Antwort vorgeschlagen wolfgang.elsen Freitag, 16. September 2011 09:45
    • Bearbeitet wolfgang.elsen Freitag, 16. September 2011 09:46
    • Als Antwort markiert teccy Montag, 19. September 2011 13:31
    Freitag, 16. September 2011 09:45