Jump to content

VPN IPSEC Zertifikate


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hi Leute.

 

Hab mal eine Frage bezüglich VPN+IPSec.

Wie oder ist es überhaupt möglich eine VPN-Verbindung über L2tp IPSec laufen zulassen wenn:

 

1. Keine Preshared Key zuverwenden

2. Den Client nicht in eine Domäne zu integrieren (Auch nicht kurzzeitig)

 

Umgebung ist ein:

Win2k3 Standard mit Unternehmens StammZertifizierungstelle.

VPN Benutzerauthentifizierung erfolgt über Smartcards.

IPSec funktioniert nur wenn sich rechner zuert über pptp verbinden die rechner in die domäne integriert wurden, ein Zertifikat z.B IPSEC oder eins mit Clientauthentifizierung bezogen wird und der rechner in der Domäne bleibt oder austritt ist egal, da das Computer Zertifikat erhalten bleibt.

 

Clients sind Windows XP

 

Jetzt ist die Frage wie bekomme ich das mit dem IPSec hin ohne zuvor mitglied der Domäne gewesen zu sein!?! :confused:

Kann mir jemand helfen?

 

Gruß

 

Dr.Kiffer

Link to comment

Mit einer eigenständigen Zertifizierungsstelle wäre das jetzt kein Problem.

Bei einer Unternehmenszertifierungsstelle können ja nur Security Principals, in dem Fall Computer aus dem AD ein Zertifikat anfordern.

Aber mit *räusper* "etwas" Aufwand ist das auch machbar:

Da ich jetzt leider keine ausführliche Anleitung schreiben kann, nur kurz in Stichworten das Vorgehen:

 

- in der Zertifizierungsstelle eine Kopie der IPSec-Richtlinienvorlage erstellen. Dabei bei den Anforderungsverbeitungen den privaten Schlüssel als exportierbar erlauben.

- diese neue Vorlage zur Anforderung freigeben

- wichtig: einige Minuten warten!

- Mittels einer selbsterstellten MMC (Zertifikate->Lokaler Computer) ein Zertifikat anfordern. Dabei die neue Vorlage auswählen

- Nach Erhalt der Zertifikats kann dieses mit samt dem privaten Schlüssel exportiert werden

- Auf dem Zielrechner importieren

- Rootzertifikat auf Zielrechner importieren nicht vergessen

 

HTH

 

grizzly999

Link to comment

Hi. Danke für die Antwort.

 

Hört sich sogar richtig plausibel an. Hab nur noch ein Problem. Wenn ich diese Doppelte Vorlage erstelle, dann benötigt diese min. Eine Windows 2003 Server Enterprise Zertifizierungstelle Habe allerdings nur die Standard. Gibt es da eine möglichkeit, eine Version 1 Vorlage oder ähnlich zu erstellen?

 

Gruß

 

Dr.Kiffer

Link to comment

Ja, da hast du recht, das habe ich nicht dazugeschrieben, weil das Arbeiten an einer EE in meinen Umgebungen schon selbstverständlich geworden ist :o

Und nein, da ist dann Ende der Fahnenstange, die SE kann nur mit V1 Vorlagen arbeiten, und bei denen ist IMHO der private key nie als exportierbar markiert, womit man ihn dann auch aus dem Computer nicht herausbringt.

 

Als Alternative fällt mir nur ein:

1.) Deine Lösung (Client zuerst in die Domäne, dann rausnehmen)

2.) Wenn noch ein Server da ist, dort eine eigenständige Zertifizierungsstelle aufbauen, Zertifikate (am leichtesten über den Webbrowser) anzufordern und dabei den private key als exportierbar markieren. Der VPN-Server braucht dann eben auch so einZertifikat nebst Root-CA-Zert.

 

Sorry, mehr habe ich im Moment nicht anzubieten.

 

 

grizzly999

Link to comment

Ja danke trotzdem.

 

Aber eine idee bzw. frage hätt ich noch.

 

Wie ist das denn wenn ich z.B unter vmware eine Enterprice CA aufsetze (Habe hier noch eine 180 Tage Testversion) diese als ausstellende Zertifizieurngstelle einrichte, das zertifikat über diese dann an einen Client ausgebe und dann die virtual machine wieder lösche.

Düfte doch eigentlich klappen, ausser das ich nach ablauf der Zertifikate wieder diese (oder eine??) Enterprice CA brauche?

oder habe ich was übersehen?

 

Gruß

 

Dr.Kiffer

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...