Zertifizierungsstelle einrichten (VPN Einwahl fehler 801)

[TobiasNYSE 10]

Hallo,

 

habe mal wieder ein paar Fragen an euch ;)

 

Es geht im allgemeinen um die Zertifikatsgestützte Authentifizierung für VPN, IPSec. (Windows 2000 Server)

Habe nun ein bisschen mit den verschiedenen Stammzertifizierungsstelle experimentiert (Organisation, Eigenständig) dazu habe ich mehrfach die Zertifizierungsdienste installiert bzw. deinstalliert.

Nun haben sich im lokalen Zertifikatsspeicher so einige überflüssige Zertifikate angesammelt die ich allesamt gelöscht habe, um den Zertifizierungsdienst neu aufzusetzen.

 

1. Allerdings werden die alten Zertifikate trotzdem noch an die Clients repliziert, und unter den vertrauenswürdigen stammzertifizierungsstellen abgelegt. Wie kann ich das beeinflussen, wird wahrscheinlich über das Active Directory geschehen, oder?

 

2. Anscheinend hatte der Zertifizierungsdienst bei der ersten Installation automatisch Zertifikate für die Serverauthentifizierungs für die beiden DC´s ausgestellt (diese habe ich ****erweise auch gelöscht, leider werden diese nun nicht mehr automatisch bei der erneuten installation ausgestellt)(komischerweise sind diese Zertifikate auch nicht in der Zertifizierungsstelle als ausgestellte Zertifikate aufgeführt gewesen) diese werden natürlich auch nicht an die clients übermitteltübermittelt (als vertrauenswürdige Stammzertifizierungsstellen usw. die neu erstellte Stammzertifizierungstelle wird aber an die Client´s übermittelt.

 

3. Das resultat ist nun folgendes, der test Clients kann sich per VPN nicht mehr einwählen fehler 801 (Diese Verbindung ist für die Bestätigung der Identität des Zugriffservers konfiguriert. Es können jedoch keine vom Server gesendeten digitalen Zertifikate verifiziert werden.)

 

4. Habe mal testweise ein Serverauthentifizierungszertifikat ausgestellt, dieses konnte ich auch in der RAS Richtlinie auch als Zertifikat angeben (vorher kam immer die Meldung "kein EAP Zertifikat für Authentifizierung vorhanden, o.ä." logisch) Dieses war auch, wie zu erwarten, in der Zertifizierungsstelle unter ausgestellte Zertifikate angegeben.

 

Anscheined ist das irgendwie nicht ausreichend, der Client kann sich trotzdem nicht einwählen (Fehler 801) obwohl ich dieses Zertifikat als vertrauenswürdig im lokalen zertifikatsspeicher des Client´s aufgenommen habe.

 

Das ganze ist ganz schön kompliziert :shock:

 

 

Ich stehe nun am folgenden Punkt:

 

Habe alle alten Zertifikate (die von der alten zertifizierungstellen, zu test zwecken, ausgestellt wurden) lokal vom server und dem Client gelöscht (allerdings waren die ganzen alten überflüssigen Zertifikate nach dem Client Neustart wieder vorhanden, daher meine annahme mit der replikation über das AD.

 

Anschließend den Zertifikatsdienst neu installiert als Organisation: Stammzertifizierungsstelle.

 

Welcher schritt sollte als nächstes folgen, ???

 

Danke schon mal für eure mühe