VPN: Kurz-Howto für Benutzerzertifikate IPSec/L2TP

[an3k 10]

Hallo,

 

ich habe das Forum bereits durchsucht, doch leider nichts gefunden. Google findet zwar viel, aber entweder funktionieren die Howtos nicht oder besprechen Computerzertifikate.

Das Howto auf gruppenrichtlinien.de ist leider vollkommen nutzlos, sonst ist die Seite super!

 

Erstmal zur Soft- und Hardware:

 

Der VPN-Server läuft auf Win2k3, dieser hat zwei NICs, eine ist mit dem LAN verbunden, die andere direkt mit dem Internet. Letztere wird nur für VPN genutzt (Basisfilter angelegt).

VPN per PPTP funktioniert (mittlerweile) einwandfrei (von innen und aussen). Ich möchte nun aber endlich Zertifikate nutzen, wovor ich mich bisher immer gesträubt habe. Mein Problem bestärkt mein Verhalten :)

 

Kurzum möchte ich a) für jeden Computer ein Zertifikat ausstellen, sodass nur "saubere" Computer ins AD kommen und b) für jeden Benutzer ein Zertifikat ausstellen (wir haben da so ein paar Pappenheimer die gerne leichte Passwörter trotz der verstärkten Regeln nutzen).

Sehr gerne würde ich auch Smartcards benutzen können (USB-Stick), zumindest für mich - Abstecken = Sperren / Anstecken = Anmelden wäre perfekt.

 

 

Falls ihr ein sauberes und funktionierendes HowTo kennt, nennt es mir bitte, ansonsten wäre ich sehr dankbar und froh für eine kurzes, selbstgeschriebenes hier im Forum.

Habe auch Windows Server How-To Guides: Einrichten einer L2TP/IPSec Verbindung mit Zertifikaten - ServerHowTo.de gesehen, aber da geht es ja nur um Client-Zertifikate. Die habe ich auch eingerichtet, aber der Server nutzt diese nicht.

 

Vielen Dank im Voraus für eure Antworten und Hilfestellungen!

 

 

~ Ben

[an3k 10]

Also mittlerweile funktioniert es, PPTP und L2TP. Fragt mich aber bitte nicht wieso es jetzt klappt und vorher nicht. Die Installation ist die selbe.

 

Bei der ersten Installation waren keine PPTP-Ports installiert, daher funktionierte wenn überhaupt nur L2TP, das aber Aufgrund von Zertifikaten nicht funktionieren wollte.

 

Jetzt nach der mittlerweile vierten De- und Neuinstallation des Zertifizierungsservers und der RAS- und Routing-Dienste geht es.

 

 

Nur noch ein Problem: Das Active Directory verschiebt nun insgesamt vier Zertifikate des PDC auf die sich anmeldenden Clients (zuvor alle den PDC betreffenden Zertifikate auf den Clients gelöscht, nicht im IE, in der Managementkonsole für Computer und Lokales Konto).

Klar könnte ich mit Sperrlisten arbeiten, das würde mich dann aber immer nerven, da es irgendwie unordentlich aussieht und da auch nur zwei Computer die ab sofort ungültigen Zertifikate installiert haben und diese unter meiner vollen Kontrolle stehen, d.h. ein Sicherheitsproblem gäbe es nicht, würde ich diese sehr gerne komplett aus dem AD entfernen, so als hätte es diese nie gegeben.

Ungültig sind sie nicht, da root authority aber für die selbe Stelle und selben Zwecke vier Zertifikate ist, bzw. kann ein Sicherheitsrisiko werden, bzw. Probleme verursachen.

 

Wie säubere ich das Active Directory von den "ungültigen" Zertifikaten, also komplette Löschung ohne Nutzung von Sperrlisten, etc.?!

 

Danke!