Whistleblower 45 Geschrieben 4. Dezember 2006 Melden Teilen Geschrieben 4. Dezember 2006 Hallo, ich möchte gerne einen 871 als Root-CA für zert.-basiertes VPN einrichten. Was gibt es da zu beachten, bzw. wie gehe ich überhaupt dabei vor? Habe bisher nur unter Linux mal eine CA erstellt, und vermisse daher bei Cisco die Möglichkeit, die ganzen Credentials dazu einzugeben... Und der SDM unterstützt das Anlegen einer CA nicht, soweit ich das bisher gesehen hab...?! Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 4. Dezember 2006 Melden Teilen Geschrieben 4. Dezember 2006 Oh, da ist ja schon dein Post. :) Also bei einer CA auf der Cisco ist schon so einiges zu beachten, und wenn du was falsch machst musst du alles von vorne konfigurieren. Hast du auf Cisco.com nix zu dem Thema gefunden? Wenn ich dir da die ganze Config poste bekomm ich noch ne Hornhaut auf den Fingern ;) Du bist uebrigens nicht gezwungen eine CA auf der Cisco zu machen, kannst das alles auch extern machen und dann nur die Zertifikate importieren. Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 4. Dezember 2006 Autor Melden Teilen Geschrieben 4. Dezember 2006 Hi Wordo! D.h. ich sollte lieber einen MS Zerti-Server dafür nutzen? Ist vielleicht nicht vollkommen abwegig, muss sowieso die Woche noch einen 2003 Server aufsetzen... Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 4. Dezember 2006 Melden Teilen Geschrieben 4. Dezember 2006 Das ist die Empfehlung von Cisco, ja. Ich glaub du musst da noch das Ressource Kit installieren damit du SCEP mit bei hast. Dann ist es doch recht angenehm mit Cisco und MSCert. Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 4. Dezember 2006 Melden Teilen Geschrieben 4. Dezember 2006 Hi, die Verwendung eines MS-Zertifikatsservers für diesen Zweck hat sich bei uns gut bewährt, das Rollout funktioniert ohne Probleme. Hier ist ein Link zu dem Add-On, welches für das Auto-Enrollment per SCEP gebraucht wird: Download details: Simple Certificate Enrollment Protocol (SCEP) Add-on for Certificate Services Viele Grüße, Martin Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 5. Dezember 2006 Autor Melden Teilen Geschrieben 5. Dezember 2006 Danke erstmal für die Hilfe, ich werde das gleichmal einplanen, wenn ich den neuen 2003 Server aufsetze! Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 14. Dezember 2006 Autor Melden Teilen Geschrieben 14. Dezember 2006 Lässt sich ein Windows 2003 STANDARD Server auch als CA einrichten? Lt. MS braucht man dafür ja zwingend den Enterprise Server... ? :( Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 14. Dezember 2006 Melden Teilen Geschrieben 14. Dezember 2006 Also ich hab Standard, und er bietet mir es auch an den zu installieren, von daher sollte das eigentlich schon gehen. Aber Windows zaehlt nicht zu meinen Staerken. Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 14. Dezember 2006 Autor Melden Teilen Geschrieben 14. Dezember 2006 Hab grad eine Anleitung gefunden, wie es als Stand-Alone CA einzurichten ist... Das funzt soweit schonmal :-) Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 14. Dezember 2006 Melden Teilen Geschrieben 14. Dezember 2006 Link posten bitte :D Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 15. Dezember 2006 Autor Melden Teilen Geschrieben 15. Dezember 2006 MS gibt da selbst Hilfestellung zu beim Installieren der Zerti-Dienste... Ansonsten Links hier: Microsoft Certification Authority und direkt zu Stand-Alone CAs ohne zwingendes ADS: MS - Stand-alone Certificate Authority Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 18. Dezember 2006 Autor Melden Teilen Geschrieben 18. Dezember 2006 Hm, irgendwie kann ich vom Cisco noch kein Enrollment ausführen... Server ist erreichbar, SCEP läuft auch, aber evtl. erwartet Cisco die URL in einer anderen Form? gebe bisher http://servername/certserv/mscep/mscep.dll an. Bekomme dann aber vom SDM die Fehlermeldung, dass der Server auf die Anforderung nicht reagiert hat... ? Authentication has failed. The error code returned indicates the following reason for failure: There was an error receiving the CA certificate. The CA server did not respond for one of the following reasons: -The enrollment URL entered is incorrect -The router could not reach the CA server -The CA server could be offline. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 18. Dezember 2006 Melden Teilen Geschrieben 18. Dezember 2006 Mach lieber nen debug auf der CLI, da bekommste mehr Infos als die paar Vorschlaege an was es denn liegen koennte .. EDIT: Siehst du den Client in den IIS Logs? Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 18. Dezember 2006 Autor Melden Teilen Geschrieben 18. Dezember 2006 Hm, wo finde ich die IIS-Logs? Vielleicht nochmal ein paar Details, was gemacht werden soll: Zu einem Standort soll ein zertififkatsbasiertes VPN gemacht werden. Dort wird eine Linux-Lösung für das VPN verwendet. Öffentlicher Teil des Zertis liegt vor, lässt sich auch ohne weiteres auf der CA installieren. Einerseits brauche ich jetzt von dem hiesigen Cisco-Router den public key, um ihn am anderen Standort installieren zu können. Wollte ich über SCEP bewerkstelligen, funzt aber ja noch nicht so richtig... Andererseits muss der Schlüssel des anderen Standortes auf den Cisco bzw. auf die CA (aber da ist er ja schon installiert)... Wo ist mein Buch??? ;-) Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 18. Dezember 2006 Melden Teilen Geschrieben 18. Dezember 2006 Ich glaub da ist ein Denkfehler drin. Du hast eine CA, die laeuft auf Windows. Dann hast du ne Linux mit eigenem Zertifikat und Root Zertifikat von der CA. Jetzt darf jeder, der von der CA ein signiertes Zertifikat hat ein VPN zur Linux aufbauen. Du musst da nix auf die Linux kopieren (von der Cisco). Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.