mseifert1980 10 Geschrieben 3. Juli 2008 Melden Teilen Geschrieben 3. Juli 2008 Hallo zusammen, vielleicht kann mir jemand von euch die frage beantworten. Wir haben einen ISA Server 2006 im einsatz. Dieser ISA Server ist zugleich für die VPN verbindungen zuständig. Derzeit habe ich es so eingerichtet L2TP/IPSEC mit Passphrases (eingetragene Schlüssel). Klappt alles wunderbar. Jetzt ist es ja so, dass diese Variante als unsicher betrachtet wird. Jetzt meine Frage. Kann der ISA Server 2006 auch einzelne VPN Verbindungen via Zertifikat handeln ? Sprich Windows XP Client wählt sich via L2TP/IPSEC (über eine PPP Verbindung) beim Server ein und die Verschlüsselung geht über Zertifikate. Bis jetzt habe ich nur immer Site to Site Verbindungen via. Zertifikate gefunden. Leider habe ich bis jetzt im Netz noch nichts darüber finden können, ob das auch über point to point Verbindungen möglich ist. Weiß das zufällig jemand ? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 3. Juli 2008 Melden Teilen Geschrieben 3. Juli 2008 Hallo zusammen, vielleicht kann mir jemand von euch die frage beantworten. Wir haben einen ISA Server 2006 im einsatz. Dieser ISA Server ist zugleich für die VPN verbindungen zuständig. Derzeit habe ich es so eingerichtet L2TP/IPSEC mit Passphrases (eingetragene Schlüssel). Klappt alles wunderbar. Jetzt ist es ja so, dass diese Variante als unsicher betrachtet wird. Jetzt meine Frage. Kann der ISA Server 2006 auch einzelne VPN Verbindungen via Zertifikat handeln ? Sprich Windows XP Client wählt sich via L2TP/IPSEC (über eine PPP Verbindung) beim Server ein und die Verschlüsselung geht über Zertifikate. Bis jetzt habe ich nur immer Site to Site Verbindungen via. Zertifikate gefunden. Leider habe ich bis jetzt im Netz noch nichts darüber finden können, ob das auch über point to point Verbindungen möglich ist. Weiß das zufällig jemand ? Ja, das geht. Der ISA und der Client bruahcen ein Zertifikat, zurückführbar auf die gleiche RootCA(!!). Aber dann müssen alle Clients mit Zertifikaten, also es geht nicht: Client A benutzt PSK, Client B benutzt Zertifakte. Standort-Tunnels sind davon ausgenommen, da kann man den éinen Tunnel so, den anderen Tunnel anders betreiben. grizzly999 Zitieren Link zu diesem Kommentar
mseifert1980 10 Geschrieben 3. Juli 2008 Autor Melden Teilen Geschrieben 3. Juli 2008 Hallo Grizzly Danke für die Auskunft. hast du evtl. eine Quelle , wo beschreibt wie man sowas einrichtet ? Wenn dann würde ich alle VPN's mit Zertifikaten einrichten. Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 3. Juli 2008 Melden Teilen Geschrieben 3. Juli 2008 Ich verweise hier mal auf Grizzly´s Tutorial: Windows Server How-To Guides: Einrichten einer L2TP/IPSec Verbindung mit Zertifikaten - ServerHowTo.de Christoph Zitieren Link zu diesem Kommentar
mseifert1980 10 Geschrieben 3. Juli 2008 Autor Melden Teilen Geschrieben 3. Juli 2008 Vielen Dank ihr seit echt super. Habt mir echt weitergeholfen. Ich habe mit ISA und RRAS nicht wirklich erfahrung. Seither hatte ich nur immer mit Hardware Firewalls zu tun. Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 3. Juli 2008 Melden Teilen Geschrieben 3. Juli 2008 Ihr habt ja ISA 2006 im Einsatz, dann dürfte das SP1 evtl. von Interesse sein, schau mal unter Tips und Links, da findest Du den Link zum Download. Gruß Christoph Zitieren Link zu diesem Kommentar
mseifert1980 10 Geschrieben 4. Juli 2008 Autor Melden Teilen Geschrieben 4. Juli 2008 Hallo christoph vielen Dank für eure Hilfe. Ich habe den SP1 gestern installiert. Jetzt habe ich allerdings noch ein Problem. Ich habe eine Zertifizierungsstelle eingerichtet. Habe das Zertifikat so erstellt wie angegeben. Habe dieses Zertifikat Exportiert wie angegeben. Sprich Download CA abspeichern als cer datei usw. Dann bin ich an meinen client und habe es wie angegeben importiert. Jetzt habe ich das Zertifikat geöffnet so wie angegeben. Wenn ich dann die Zertifikate mit den Screenshots vergleiche. im Zertifikat unter dem Reiter Allgemein fehlt unten der Satz: Sie besitzen einen Privaten Schlüssel für dieses Zertifikat Unter Details kann ich kein Feld mit dem Namen: Erweiterte Schlüsselverwendung finden Habe ich einen Schritt übersehen ? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 4. Juli 2008 Melden Teilen Geschrieben 4. Juli 2008 Hast du beim Exportieren angegeben, dass du den privaten Schlüssel mit exportieren möchtest? Dann ist das Ergebnis eine .pfx-Datei, ansonsten eine .cer-Datei grizzly999 Zitieren Link zu diesem Kommentar
mseifert1980 10 Geschrieben 4. Juli 2008 Autor Melden Teilen Geschrieben 4. Juli 2008 Hallo Also ich bin über Die Webseite http://Http://localhost/certsrv gegangen. Dort habe ich gesagt. Download a CA certificate, certificate chain, or CRL Dann Bekam ich die Übersicht mit meinem Zertifikat. Als Option ist DER Ausgewählt. Und da bin ich dann auf Download CA certificate Habe Speichern unter gemacht und das Zertifikat als cer Datei abgespeichert. Ich habe nochmal eine Verständnissfrage: Diese Zertifikatsbasiert VPN Verbindung, die ich hier versuche zu realisieren . Wirkt sich diese eigentlich auch auf SITE to Site VPN Verbindungen aus ? Wir haben über diesen Server eine Site to Site VPN Verbindung zu einer anderen Firma eingerichtet die ebenfalls über PSK geht. –-------------------------------------------------------------------- Hallo Grizzly Sag mal muss der besagte ISA Server Verbindung zur Zertifizierungsstelle haben ? Ich habe jetzt das Zertifikat bei beiden hinterlegt Server und Clients . Habe eine VPN Verbindung aufgemacht und er bingt mir die Fehlermeldung. The description for Event ID ( 8000 ) in Source ( ipsecevents ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer. You may be able to use the /AUXSOURCE= flag to retrieve this description; see Help and Support for details. The following information is part of the event: CN=VPN Connection; [0] ldap:///CN=TEST%20ROOT%20CA%20SERVER,CN=SERVER,CN=CDP,CN=Public%20Key%20Services, CN=Services,CN=Configuration,DC=Test-DOMAIN,DC=de?certificateRevocationList?base? objectClass=cRLDistributionPoint [1] http://Server.test-Domain.de/CertEnroll/TEST%20ROOT%20CA%20SERVER.crl; The revocation function was unable to check revocation because the revocation server was offline. Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 4. Juli 2008 Melden Teilen Geschrieben 4. Juli 2008 Hallo Also ich bin über Die Webseite http://Http://localhost/certsrv gegangen. Dort habe ich gesagt. Download a CA certificate, certificate chain, or CRL Dann Bekam ich die Übersicht mit meinem Zertifikat. Als Option ist DER Ausgewählt. Und da bin ich dann auf Download CA certificate Habe Speichern unter gemacht und das Zertifikat als cer Datei abgespeichert. Das ist der Import des CA-Zertifikats, den braucht man, damit das Zertifikat der selbst eingerichteten CA auch als vertrauenswürdig betrachtet wird. Und später hast Du dir dann dieses CA-Zert. angeschaut, nicht das, das die CA für IPSEC für den ISA ausgestellt hat. Für dieses CA-Zertifikat hast Du natürlich keinen privaten Schlüssel. Du musst Dir das Zertifikat anschauen, das im Folder "Eigene Zertifikate" hinterlegt ist. Für den anderen Fehler musst Du in den ISA Server SystemPolicies den CRL-Download erlauben. Christoph Zitieren Link zu diesem Kommentar
mseifert1980 10 Geschrieben 4. Juli 2008 Autor Melden Teilen Geschrieben 4. Juli 2008 Hallo Christoph Danke für die antwort. Sehe ich das Richtig die ausstellende Zertifizierungsstelle muss nicht vom ISA aus ereichbar sein. Oder ? Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 4. Juli 2008 Melden Teilen Geschrieben 4. Juli 2008 Die CRL (Certificate Revocation List) muss abrufbar sein. Wenn die nur auf der CA selbst liegt, muss natürlich auch die CA erreichbar sein. Alternativ könntest Du die CA so konfigurieren, dass sie die CRL auf einem ständig erreichbaren Server ablegt. Christoph Zitieren Link zu diesem Kommentar
mseifert1980 10 Geschrieben 4. Juli 2008 Autor Melden Teilen Geschrieben 4. Juli 2008 Hall Christoph kann ich die CRL auch Exportieren ? und auf diesen ISA Server hinterlegen. mein Problem ist folgendes. Der besagte ISA Server Hängt außerhalb der Domäne. ISA VPN Server ----DMZ---- Firewall --------Domäne mit CA Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 4. Juli 2008 Melden Teilen Geschrieben 4. Juli 2008 Vielleicht hilft Dir dieser 2 teilige Artikel weiter: Me, Myself and ISA Blog (MSFirewall.org.uk): Publishing Certificate Revocation Lists with ISA Server 2006 - Part 1: Creating the Publishing Rule Me, Myself and ISA Blog (MSFirewall.org.uk): Publishing Certificate Revocation Lists with ISA Server 2006 - Part 2: Applying the HTTP Filter Christoph Zitieren Link zu diesem Kommentar
mseifert1980 10 Geschrieben 4. Juli 2008 Autor Melden Teilen Geschrieben 4. Juli 2008 Hallo christop Danke für den link. ich bin jetzt schonmal ein ganzes Stück weiter gekommen. Jetzt kommt beim herstellen der VPn Verbindung folgende Fehlermeldung Error 786: The L2TP connection attempt failed because there is no valid machine certificate on your computer for security authentication Ich habe geschaut. Die Berechtigungen stimmen am Client. Ich habe extra nochmal die Zertifikate von der Zertifizierungsstelle heruntergeladen und nach Anleitung importiert. Die Zertifizierungsstelle ist von dem ISA Server aus erreichbar. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.