Cisco 871 als CA

[Whistleblower 45]

Hm, vielleicht, ganz klar ist mir das noch nicht...

 

Ich habe auf jeden Fall hier eine CA auf dem 2003-Server.

Am anderen Standort ist mit Sicherheit auch eine CA, ob es sich dabei um die gleiche Linux-Maschine handelt, wie die auf der das VPN läuft, weiss ich nicht.

 

Meine CA erstellt mir für den Cisco ein gültiges Zertifikat.

Dieses Zertifikat (bzw. der public key davon) muss der Gegenstelle bekannt sein.

Ebenso muss meinem Cisco bzw. meiner CA das Zerti des anderen Stanorts bekannt sein, oder? Korrigiert mich, wenn ich noch Denkfehler mache...

[Wordo 11]

Da bleibt doch die Skalierbarkeit der Zeritifikate auf der Strecke! Da kannst du auch PSK's nehmen. Nene, eine CA, die erstellt fuer alle Zertifikate und jeder Router vertraut dem Zertifikat von der einen CA. Fuer Feintuning kannste dann noch nur bestimmte CN's oder so zulassen (z.B. fuer oeffentliche CA's). Steht aber auch alles in dem Buch ;)

[Whistleblower 45]

Klar, die Sinnhaftigkeit des ganzen habe ich auch schon angezweifelt... Aber was hilfts, wenn der Standort unbedingt mit Zertis arbeiten will... :-(

Da ist dann wohl mal unternehmensweite Abstimmungsarbeit erforderlich...

[Wordo 11]

Oder sie stellen dir ein Zertifikat zur Verfuegung, aber dann haben die alles an der Backe ;)

[Whistleblower 45]

So, ich konnte noch etwas klären...

Die Gegenseite verwendet auch nur self-signed Zertis, keine CA, also werde ich auch mit self-signed arbeiten...

Die Frage ist nur - wie? Und vor allem, wie bringe ich dem Cisco bei, dass er das self-signed von der Gegenstelle annimmt? Aktuell verwirft er es noch:

 

... chain received from peer contained only self-signed certs and they were discarded

 

Muss ich noch einen Trustpoint für diese Gegenstelle auf dem Cisco einrichten? Zum Thema self-signed findet man leider recht wenig...