SSTP VPN und USB-token

[AleksM 0]

Hallo,

wir verwenden SSTP VPN. Jetzt muss ich zwei-faktore Authentication implementieren.
Klient Zertifikate werden in dem USB Token einspeichern. Könnten Sie bitte dafür mir ein gutes Token empfehlen, das mit Windows PKI kompatibel ist.
Ich hoffe auf Ihre Erfahrung damit.

Ich bedanke mich im Voraus.

[zahni 587]

Welchen VPN-Client  willst Du denn benutzen?

[AleksM 0]

Welchen VPN-Client  willst Du denn benutzen?

Windows

[zahni 587]

Solche Token gibt es z.B. von 

 

http://www.safenet-inc.de/multi-factor-authentication/authenticators/pki-usb-authentication/

Ob die mit dem Windows-VPN Client funktionieren, weiss ich nicht.

 

TPM wäre auch denkbar:  https://blogs.technet.microsoft.com/pki/2014/09/08/setting-up-tpm-protected-certificates-using-a-microsoft-certificate-authority-part-3-key-attestation/

 

SecurID-Token sind auch nett  https://www.rsa.com/de-de/products-services/identity-access-management/securid

Doch da brauchst Du wohl eher eine VPN-Lösung von NCP.

[AleksM 0]

TPM wäre auch denkbar:  https://blogs.technet.microsoft.com/pki/2014/09/08/setting-up-tpm-protected-certificates-using-a-microsoft-certificate-authority-part-3-key-attestation/

das ist sehr gut, dass du TPM erwähnt hast.

ich habe ein test VM auf Hyper-V mit vituelle TPM. Ich habe den Root CA ins vTPM hinzugefügt, aber es läuft nicht:

 

Wie kann ich VPN-Client sagen, dass er das Zertifikat in dem vTPM suchen muss ?

 

Nicht alle Computer unterstützen das TPM.

[zahni 587]

Vielleicht  zuerst mal um die Rote Meldung kümmern.

Woran das liegt, kann ich aus der Ferne auch nicht sagen und auch nicht, ob das Ganze mit "vTPM" funktioniert.

[AleksM 0]

Vielleicht  zuerst mal um die Rote Meldung kümmern.

meine Frage ist doch um diesen Fehler...

wenn vTPM für VPN passt nicht, dann ist es doch schade...

bearbeitet 3. August 2016 von AleksM

[zahni 587]

Vielleicht  ist  das Root-Certificate  nicht importiert worden?

Ich gehe mal davon aus, dass keine Self-Signed Zertifikate benutzt werden.

[AleksM 0]

Vielleicht  ist  das Root-Certificate  nicht importiert worden?

Ich gehe mal davon aus, dass keine Self-Signed Zertifikate benutzt werden.

doch, es ist importiert. guck mal auf dem Bild. ich habe ihn grünen Farbe markiert.

wenn ich dieses Zertifikat in andren Ort importiere (Trust Root Zertifikate) - dann läuft es problemlos.

bearbeitet 3. August 2016 von AleksM

[zahni 587]

Sorry, dann kann ich auch nicht weiterhelfen. Ich wollte anghand der Links nur  ein paar Lösungsmöglichkeiten aufzeigen. Ich kenne niemanden im Firmenumfeld, der den VPN-Client von WIndows benutzt.

[AleksM 0]

Sorry, dann kann ich auch nicht weiterhelfen. Ich wollte anghand der Links nur  ein paar Lösungsmöglichkeiten aufzeigen. Ich kenne niemanden im Firmenumfeld, der den VPN-Client von WIndows benutzt.

trotzdem danke dir.

[AleksM 0]

Hallo,

 

könntet ihr mir bitte sagen, ob SSTP mit Machine Certificate auf der Klientseite möglich?

[Doso 77]

Wollt ihr da wirklich noch wirklich groß in SSTP VPN investieren? Die Forefront/ISA Firewalllösungen etc. sind ja komplett abgekündigt und laufen in einigen Jahren aus dem Support raus. Befürchte das damit auch das Protokoll mittelfristig stirbt.

[AleksM 0]

Die Forefront/ISA Firewalllösungen etc. sind ja komplett abgekündigt und laufen in einigen Jahren aus dem Support raus. Befürchte das damit auch das Protokoll mittelfristig stirbt.

SSTP auf RRAS 2012 R2.