Jump to content

VPN mit PKI nötig ?

master-obi-wan

Von master-obi-wan
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

master-obi-wan Experienced

master-obi-wan   10

Geschrieben
Geschrieben

HoHoHo,

 

von serverhowto.de komm ich her und bring Euch meine Fragen schwer ... :rolleyes:

 

So, genug der Weihnachts-Lyrik ... hier geht's um VPN-Server Einrichtung :D

Windows Server How-To Guides: Einrichten einer L2TP/IPSec Verbindung mit Zertifikaten - ServerHowTo.de

 

Grizzly's Howto ist auch sehr schön geschrieben, was mich allerdings etwas verwirrt ist die Bemerkung:

 

Wichtiger Hinweis: Das in diesem Tutorial vorgestellte Vorgehen der Einrichtung einer Zertifizierungsstelle entspricht nicht einer professionellen PKI-Lösung, sondern dient nur als Mittel zum Zweck für den Hausgebrauch.

 

Hmmm, in meinem Fall soll ich den Zugriff für ein W2k3-AD mit etwa 10 VPN-Clients einrichten. (5 Firmen-Notebooks, 5 Heim-PCs)

 

 

Kann man hier noch mit der "Hausgebrauch-Lösung" operieren, oder ist das ein fall für ein PKI ?

 

So wirklich geschnallt, hab ich das mit PKI sowieso noch nicht, wird hier das Zertifikat regelmässig erneuert,

oder was genau ist der Unterschied von der "PKI-Lösung" zur "Hausgebrauch-Lösung" ?

 

Kennt jemand ein gutes Howto für VPN mit PKI ? (Wie ihr an den Fragen sehen könnt, brauch ich das dringend ... ) :D

 

Besten Dank schonmal !

 

-----------------------------------------------------

Umgebung:

W2k3 Server mit AD (wird wohl der VPN-Server werden)

ISA ist nicht vorhanden

Clients: XP und W2k

-----------------------------------------------------

Link zu diesem Kommentar
Christoph35 Veteran

Christoph35   10

Geschrieben
Geschrieben
Kann man hier noch mit der "Hausgebrauch-Lösung" operieren, oder ist das ein fall für ein PKI ?

 

Das kommt z.B. darauf an, ob das VPN auch von Internet Café Rechnern (oder anderen öffentlichen Computern) aus aufgebaut werden soll, oder nur von von euch zur Verfügung gestellten Rechern. Auf letzteren könntet ihr ein Zertifikat eurer hauseigenen PKI installieren. Auf ersteren dürfte das etwas schwierig werden.

 

Wenn es wirklich nur die 5 Laptops sind und auch nur zu diesem Zweck, spricht wenig gegen eine eigene PKI.

 

Christoph

Link zu diesem Kommentar
master-obi-wan Experienced

master-obi-wan   10

Geschrieben
  • Autor
Geschrieben

Hallo Christoph,

 

besten Dank erstmal für die Antwort.

ich glaube nicht, dass Internet Café Rechner in dieses Konzept mit rein kommen ...

 

 

 

Ich bin gerade am "abarbeiten" des HowTo's und steck schon in der zweiten Seite fest ... :shock:

Ich hab in einer VMWare einen W2K3-Server mit AD nigelnagelneu aufgesetzt, IIS und ASP installiert und dann wie im HowTo beschrieben, die Zertifizierungstelle eingerichtet. Der einzige Unterschied ist, ich habe "Stammzertifizierungsstelle des Unternehmens" ausgewählt.

 

Bei der Zertifikatsanforderung (certrqma.asp) fehlt mir die Auswahl "IPSec-Zertifikat" :confused:

Und wenn ich die "Certificate Templates" aufmache, dann steht bei IPSec "not allowed".

Wie krieg ich das auf "allowed" ?

Link zu diesem Kommentar
Christoph35 Veteran

Christoph35   10

Geschrieben
Geschrieben

Hi,

 

schau mal in der CA-MMC, ob dieses Zertifikat unter den Templates auftaucht. Wenn nicht, dann Rechtsklick auf Certificate Templates, dann New und Certificate Template To Issue. Anschliessend das IPSec (Offline Request) Template auswählen. Danach kann das Zert. dann von der CA ausgestellt werden.

 

Du kannst allerdings vorher auch hingehen und die Vorlage duplizieren, dann das Duplikat eigenen Anforderungen, was die Gültigkeitsdauer und so weiter angeht, anpassen und diese neue Vorlage anschließend zum Ausstellen freigeben. Dann solltest Du Dich vorher aber noch ein bischen mit dem Thema PKI unter W2K3 auseinandersetzen.

 

Gibt von MSPress ein eigenes Buch zum Thema PKI unter Win 2003:

Microsoft® Windows Server™ 2003 PKI and Certificate Security

 

Christoph

 

PS: das Not Allowed gilt nur für das Automatische Enrollment. D.h. nur, dass du das Zert. explizit anfordern musst, und es nicht via PKI Group Policy verteilt werden kann.

Link zu diesem Kommentar
micha42 Mentor

micha42   29

Geschrieben
Geschrieben
Du kannst allerdings vorher auch hingehen und die Vorlage duplizieren, dann das Duplikat eigenen Anforderungen, was die Gültigkeitsdauer und so weiter angeht, anpassen und diese neue Vorlage anschließend zum Ausstellen freigeben. Dann solltest Du Dich vorher aber noch ein bischen mit dem Thema PKI unter W2K3 auseinandersetzen.

Wobei zu beachten ist, dass das nur mit der Enterprise Ed. von Win2003 geht.

Michael

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...