eurofreddy 10 Geschrieben 15. März 2004 Melden Teilen Geschrieben 15. März 2004 Hallo, ich bekomme einfach keine authentifizierung über ein Zertifikat hin. Vielleicht kann mir ja jemand helfen. Umgebung: Win2k Server der als Zertifikatsserver dient. Win2k-Client. Hab mir am Zertifikatsserver ein ipsec client zertifikat ausstellen lassen und installiert. Das Zertifikat liegt unter Zertifikate ( lokaler Computer ) -> eigene zertifikate. ausserdem hab ich mir das Serverzertifikat importiert. liegt auf dem client unter vertrauenswürdige stammzertifikate. wenn ich sie prüfe sagt er das zertifikat ist gültig ! Auf dem Server liegt das Serverzertifikat und ein Ipsec Clientzertifikat für den Server. Wenn ich nun eine VPN-Verbindung mache und unter Sicherheit-> Erweitert-> Extensible Protokoll Zertifikat Smartcard verwenden anklicke passiert beim starten der Verbindung folgendes: Fehler 798 es konnte kein Zertifikat gefunden werden das mit dem eap protokoll funktioniert !?!?!?! Ist das Ipsec Zertifikat nicht EAP fähig ???? Danke Gruß Euro. Zitieren Link zu diesem Kommentar
IvkovicD 10 Geschrieben 15. März 2004 Melden Teilen Geschrieben 15. März 2004 Original geschrieben von eurofreddy Hallo, Wenn ich nun eine VPN-Verbindung mache und unter Sicherheit-> Erweitert-> Extensible Protokoll Zertifikat Smartcard verwenden anklicke passiert beim starten der Verbindung folgendes: Fehler 798 es konnte kein Zertifikat gefunden werden das mit dem eap protokoll funktioniert !?!?!?! Ist das Ipsec Zertifikat nicht EAP fähig ???? Danke Gruß Euro. hallo Euro, dein zertifikat ist für IPSec, für eine EAP benötigst du ein zertifikat für eine smartcard, incl. einer smartcard und einem smartcardleser. das sind zwei paar stiefel.... du benötigst eigentlich zwei zertifikate - IPSec für deinen tunnel - ein zertifikat für deine anmeldung gruß dejan Zitieren Link zu diesem Kommentar
eurofreddy 10 Geschrieben 15. März 2004 Autor Melden Teilen Geschrieben 15. März 2004 Hallo dejan, mal noch ne dumme andere frage ! Kann ich eigentlich auch nur das ipsec zertifikat zum verschlüsseln benutzen ohne ein clientauthentifizeirugszertifikat zuverwenden ??? Müsste doch eigentlich über die IP Sicherheitsrichtlinien gehen oder ??? Ich bastel da jetzt schon seit tagen rum aber bei mir will es weder über einen publickey noch über ein zertifikat funktionieren ! Kennst du oder jemand anderes ein Tutorial wo das mal beschrieben ist wie man die IP Sicherheitsrichtlinie anlegt ??? Ich dachte zwar eigentlich net das man da viel falsch machen kann aber irgendwie läufts bei mir net rund ! :-) Gruß Euro. Zitieren Link zu diesem Kommentar
IvkovicD 10 Geschrieben 15. März 2004 Melden Teilen Geschrieben 15. März 2004 Hi Euro, IPSec authentifiziert den rechner, nicht den benutzer, dafür hast du dann höhere applikationern (über z.B. kerberos, oder MS-CHAP2 wenn du l2tp machst.) für eine verbindung mittels IPSec benötigst du als basis eine "preshared key", und eine sauber konfigurierte policy (auch lokal). zertifikate und dergleichen sind dann die sahnestücke auf deinem regelwerk. versuch erstmal ein sauberes regelwerk (filter/regeln) mit den standardwerten, die du mit dem wizzard angeboten bekommst, zu verwenden, um zwei deiner rechner zu verbinden. IPSec-konfiguration erinnert ein wenig an packetfilterkonfiguration - quelle/ziel der pakete (wann IPSec/wann nicht) - phase1/phase2 negotiation (wie wird verschlüsselt/welche authentisierung, welches fallback, etc) - action der pakete (drop/route/etc) die zertifikate benötigst du nicht zum üben, die kannst du dann verwenden, wenn dir das IPSec an sich gelingt link auf die schnelle: http://msdn.microsoft.com/library/en-us/secmod/html/secmod32.asp sicher nicht der perfekte link, aber a bisserl steht schon drin... gruß dejan Zitieren Link zu diesem Kommentar
eurofreddy 10 Geschrieben 15. März 2004 Autor Melden Teilen Geschrieben 15. März 2004 Hi dejan, ok ich werd mal weiterprobieren die ipsec regeln zum laufen zu bekommen ! Falls dir noch was einfällt bezüglich einem Tutorial sach bescheid ! :-) Gruß Euro. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 15. März 2004 Melden Teilen Geschrieben 15. März 2004 Ich bastel da jetzt schon seit tagen rum aber bei mir will es weder über einen publickey Bei 2000 geht VPN mit L2TP/IPsec nuer mit Computerzertifikaten, keine Preshared Keys. Lediglich im Tunnelmodus kann man über Registry-Eingriff auf Preshared Key umstelllen, aber nicht für eine End-to-End-Point Verbindung. Bei W2k3 mit XP als VPN-Client ist das aber dann möglich. Guter Lesestoff hier: http://www.microsoft.com/windows2000/techinfo/planning/incremental/vpndeploy.asp grizzly999 Zitieren Link zu diesem Kommentar
IvkovicD 10 Geschrieben 15. März 2004 Melden Teilen Geschrieben 15. März 2004 das halte ich in einer testumgebung (insofern es eine ist) zum üben, was es mit IPSec auf sich hat, mal nicht für verkehrt.... hier ein Link, der die "PreSharedKey"-option freischaltet, so wie es grizzly999 erwähnt hat (thx for the hint) http://support.microsoft.com/default.aspx?scid=kb;EN-US;q240262 gruß dejan Zitieren Link zu diesem Kommentar
anddie 10 Geschrieben 7. April 2004 Melden Teilen Geschrieben 7. April 2004 Original geschrieben von IvkovicD für eine EAP benötigst du ein zertifikat für eine smartcard, incl. einer smartcard und einem smartcardleser. .... du benötigst eigentlich zwei zertifikate - IPSec für deinen tunnel - ein zertifikat für deine anmeldung Habe das gleiche Problem. Und es heißt doch aber in den Einstellungen 'Smartcarod or other Certificate'. Da muss es doch die Möglichkeit geben, andere Zertifikate (einfache Userzertifikate) zu verwenden. MfG anddie Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.