none
IPSEC / IKE Zertifikat von öffentlichem Trustcenter RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    für einen Kunden benötige ich ein Zertifikat für eine L2TP-VPN und hierfür ein Zertifikat mit folgendem Verwendungszweck:

    • Serverauthentifizierung (1.3.6.1.5.5.7.3.1)
    • IP-Sicherheits-IKE, dazwischenliegend (1.3.6.1.5.5.8.2.2)

    Leider ist die CA des Kunden nicht aus dem Internet erreichbar. Nun stellt es sich schwerer dar als erwartet, ein Trustcenter zu finden, welches dieses Zertifikat ausstellen kann. Hauptsächlich wird hier SSL und ggf. Codesigning angeboten. Kann mir hier jemand vielleicht ein Unternehmen mit ensprechender Flexibilität empfehlen?

    Noch ne Zwischenfrage:
    Prüft der Native-VPN-Client von Win7 / Win8 überhaupt die CRLs vor der Einwahl? Bei DirectAccess ist das zumindest der Fall.

    Gruß,

    Tom


    • Bearbeitet Tommey82 Dienstag, 14. April 2015 08:10
    Dienstag, 14. April 2015 08:10
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Nach Rücksprache mit zahlreichen Trustcentern hier das Feedback: Ich habe kein Trustcenter finden können, welches ein Zertifikat mit den erweiterten Eigenschaften hat liefern können.

    Workaround:

    Verwendung eines Zertifikates der internen CA mit den benötigten Verwendungszwecken.

    Expliziete Konfiguration des Clientverhaltens für "weichen" CRL-Check:

    https://msdn.microsoft.com/en-us/library/bb742553.aspx

    https://technet.microsoft.com/en-us/library/bb794765.aspx?f=255&MSPPError=-2147217396

    Die Clients können somit das L2TP-Zertifikat zuvor nicht auf Gültigkeit prüfen, von der Sicherheitsbetrachtung ist dieses jedoch unerheblich, da die Authentifizierung über PEAP gegen einen NPS läuft. Hier kann zumindest nach Verbindungserstellung das Zertifikat des NPS auf CRL-Eintrag geprüft werden.

    Danke Mark für Dein Feedback!

    • Als Antwort markiert Tommey82 Mittwoch, 15. April 2015 12:10
    Mittwoch, 15. April 2015 12:10
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 14.04.2015 10:10, schrieb Tommey82:
    > Leider ist die CA des Kunden nicht aus dem Internet erreichbar.
     
    Warum stellst du es es nicht intern aus und exportierst es?
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Dienstag, 14. April 2015 09:10
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi,
     
    Am 14.04.2015 10:10, schrieb Tommey82:
    > Leider ist die CA des Kunden nicht aus dem Internet erreichbar.
     
    Warum stellst du es es nicht intern aus und exportierst es?
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Dienstag, 14. April 2015 09:10
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Mark,

    das Problem ist, dass die interne PKI über keinen CRL-Distribution-Punkt verfügt, welcher aus dem Internet erreichbar ist, somit kann ich interne Zertifikate hier nicht verwenden. Clients können somit die Gültigkeit des Zertifikats des VPN-Servers verifizieren.

    Gruß,

    Tom

    Dienstag, 14. April 2015 10:49
    |
  • Question
    Anmelden
    2
    Anmelden
    Hi,
     
    Am 14.04.2015 12:49, schrieb Tommey82:
    > das Problem ist, dass die interne PKI über keinen CRL-Distribution-Punkt
    > verfügt, welcher aus dem Internet erreichbar ist, somit kann ich interne
    > Zertifikate hier nicht verwenden. Clients können somit die Gültigkeit
    > des Zertifikats des VPN-Servers verifizieren.
     
    Ich habe mal vor Ewigkeiten PPTP mit internen Zertifikaten verwendet,
    das waren alles interne CA und die Verbindung wurde trotz dem
    "nicht-erreichbarkeit" der CRL aufgebaut.
    Es ist ja eher der RRAS, der das wissen muss und nicht der Client.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Dienstag, 14. April 2015 11:56
    |
  • Question
    Anmelden
    1
    Anmelden

    Nach Rücksprache mit zahlreichen Trustcentern hier das Feedback: Ich habe kein Trustcenter finden können, welches ein Zertifikat mit den erweiterten Eigenschaften hat liefern können.

    Workaround:

    Verwendung eines Zertifikates der internen CA mit den benötigten Verwendungszwecken.

    Expliziete Konfiguration des Clientverhaltens für "weichen" CRL-Check:

    https://msdn.microsoft.com/en-us/library/bb742553.aspx

    https://technet.microsoft.com/en-us/library/bb794765.aspx?f=255&MSPPError=-2147217396

    Die Clients können somit das L2TP-Zertifikat zuvor nicht auf Gültigkeit prüfen, von der Sicherheitsbetrachtung ist dieses jedoch unerheblich, da die Authentifizierung über PEAP gegen einen NPS läuft. Hier kann zumindest nach Verbindungserstellung das Zertifikat des NPS auf CRL-Eintrag geprüft werden.

    Danke Mark für Dein Feedback!

    • Als Antwort markiert Tommey82 Mittwoch, 15. April 2015 12:10
    Mittwoch, 15. April 2015 12:10
    |
  • Question
    Anmelden
    1
    Anmelden

    der Vollständigkeit halber noch, Details zum L2TP-Zertifikat:

    http://blogs.technet.com/b/rrasblog/archive/2009/06/10/what-type-of-certificate-to-install-on-the-vpn-server.aspx

    Mittwoch, 15. April 2015 12:12
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi,
     
    Am 15.04.2015 14:10, schrieb Tommey82:
    > Die Clients können somit das L2TP-Zertifikat zuvor nicht auf Gültigkeit
    > prüfen, von der Sicherheitsbetrachtung ist dieses jedoch unerheblich, da
    > die Authentifizierung über PEAP gegen einen NPS läuft.
     
    Prima. Also so wie gedacht. Dann passt es ja.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Donnerstag, 16. April 2015 10:05
    |