2K - Zertifizierungsstelle für RRAS VPN Einwahl (PPTP-EAP-Einwahl)

[holunder]

Ist es möglich mit einem "Windows 2000 Server Standard" eine Zerifizierungsstelle zu konfigurieren, die einem Domainbenutzer ein Zetifikat ausstellt, mit dem man eine PPTP Verindung zu diesem WIN2k SRV Std. aufbauen kann allerdings mit Benutzerauthentifizierung "EAP"?

Der Client-PC ist nicht in der Domain. Betriebssystem auf dem Client "Windows XP Pro bzw. Home).

Komme irgendwie nicht weiter gruß holunder

[grizzly999]

Ja, das geht. Du brauchst da am einfachsten eine alleinstehende CA (also nicht Domänenmitglied), auf der du zuvor den IIS installierst.
Dann kannst du über den Browser vom Client aus ein Zertifikat anfordern.


grizzly999

[holunder]

Danke. Ist jetzt eingerichtet. Alleinstehende CA. Kryptografiedienstanbieter "Microsoft Strong Cryptographic Provider". Wie kommt der RRAS Server jetzt zu seinem Zertifikat, welches ich bei der Authentifizierungsmethode angeben kann. Im Moment erscheint da immer noch kein Zertifikat gefunden. Habe auf dem RRAS Server via IE die URL der Cert angegeben und die erweiterten Anforderungen ausgewählt. Dann "Senden Sie ein Zertifizierungsformular an diese Zertifizierungsstelle" und bei beabsichtigter Zweck "Serverauthentifizierung" ausgewählt. [Schlüssel als exportierbar markieren und in lokalen Speicherplatz verwenden].

Beim Client analog, nur der Zweck wurde auf "Clientauthentifizierung" angepasst.

Ich hoffe Du kannst mir noch ein paar Tipps geben.

Gruss holunder

[grizzly999]

Der Server braucht für diese deine Anforderung kein Zertifikat, er muss nur der CA vertrauen. Der User braucht ein Benutzerzertifikat mit dem Zweck Clientauthentifizierung.
Submit a user certificate request via the Web: Public Key


grizzly999

[holunder]

hm,, bei der Einwahl erhalte ich jetzt eine Fehlermeldung, der VPN Server kann erreicht werden und es erscheint die Meldung für die Verifizierung von Benutzername und Kennwort. Danach wird diese Meldung generiert:

"Fehler 0x80090325: Die Zertifikatskette wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt"

Hängt das mit dem angeforderten Zertifikat für den Server zusammen, welches ich eigentlich gar nicht hätte anfordern brauchen?

MfG holunder

[Dexx]

Hi Holunder,

beim EAP Typ PEAP benötigt nur der RRAS Server ein Zertifikat um die Verbindung auszuhandeln und zu verschlüsseln, ausser du hast bei den Eigenschaften ein Häckchen in "Serverzertifikat überprüfen". Dann muss die CA einen Global Trust besitzen oder du hast die CA als Vertrauenswürdige CA in deiner lokalen Zertifikatverwaltung (Client).

Dein fehler scheint auf das letzte zu weisen. In dem Fall schau mal in der Zertifikatsverwaltung von "Benutzer" und "Computer" unter dem Punkt "Vertrauenswürdige Stammzertifizierungsstellen" -> "Zertifikate" und genau hier muss auch das Zertifikat importiert werden. Den Ort kannst du beim Import (Doppelklick aufs Zertifikat) angeben.

Gruß,

Dexx

[holunder]

Dank an Euch das Zertifikat hat wirklich noch gefehlt

MfG holunder