VPN ändern des Zertifikats

[Minti 10]

Guten Morgen.

Ich habe einen VPN Server nach dem Tutorial von Serverhowto erstellt. Nun wollte ich ein Zertifikat vom Deutschen Forschungsnetz einbinden da dieses vertrauenswürdiger ist. Allerdings bekomme ich nun immer den Fehler 792.

 

Woran könnte das liegen?

[grizzly999 11]

Beide Sieten, also Server und Client müssen ein Zertifikat derselben CA haben. Ist das der Fall?

 

 

grizzly999

[Minti 10]

Ja. Ich habe auf beiden Seiten jeweils ein Zertifikat der gleichen CA.

[grizzly999 11]

Biede IPSec Dienste neu gestartet?

 

grizzly999

[Minti 10]

Ich habe die beiden Rechner jeweils neu gestartet

 

Hier mal die Meldung aus dem Ereignislog des VPN Servers

 

Ereignistyp: Fehlerüberw.

Ereignisquelle: Security

Ereigniskategorie: An-/Abmeldung

Ereigniskennung: 547

Datum: 30.01.2007

Zeit: 09:22:21

Benutzer: NT-AUTORITÄT\NETZWERKDIENST

Computer: NEPTUN

Beschreibung:

IKE-Sicherheitszuordnung konnte nicht ausgehandelt werden.

Modus:

Schlüsselaustauschmodus (Hauptmodus)

 

Filter:

Quell-IP-Adresse ***********

Quell-IP-Adressmaske 255.255.255.255

Ziel-IP-Adresse **************

Ziel-IP-Adressmaske 255.255.255.255

Protokoll 0

Quellport 0

Zielport 0

Lokale IKE-Adresse ******

Peer-IKE-Adresse ******

IKE-Quellport 500

IKE-Zielport 500

Private Peeradresse

 

Peeridentität:

Zertifikatbasierte Identität.

 

Hier folgt das Zertifikat

 

Peer-IP-Adresse: **********

 

Fehlerpunkt:

Benutzer

 

Fehlerursache:

Allgemeiner Verabeitungsfehler.

 

Zusätzlicher Status:

Als zweites verarbeitete Nutzlast (KE)

Antwort. Wartezeit 0

0x80092004 0x0

 

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events And Errors Message Center: Basic Search.

[grizzly999 11]

Ok, die Fehlermeldung ist von der Natur her nicht sehr ergiebig, das Oakley Log wäre gesprächiger, aber nochmals die Frage:

Du hast beiden Rechner ein neues Zertifikat samt private key und mit dem korrekten Zweck hinzugefügt?

Beide haben das Root Zertifikat im Speicher für vertrauenswürdige Stammzertifizierungsstellen?

Du hast die vorherigen, nicht mehr erwünschten Zertifikate gelöscht (nach Export), so dass die neuen Zertifikate die einzigen sind, die er verwenden kann ?

 

Ansonsten gehen mir langsam die Ideen aus ...

 

grizzly999

[Minti 10]

Ja alles so wie du beschrieben hast. Habe nun versucht das alte Zertifikat zu verwenden und den Ras nochmal neu konfiguriert. Aber es will einfach nicht mehr funktionieren. Hast du vielleicht doch noch ne Idee?

[grizzly999 11]

Im Moment nicht. Ich habe auch noch nie bei L2TP/IPSec auf ein komplett anderes Zertifikat von iener anderen CA umstellen müssen. Theoretisch darf das aber kein Problem darstellen. Ich müsste das in einer Testumgebung nachstellen. Und wie gesagt, das Oaley Log ist da hilfreicher

 

 

grizzly999

[Minti 10]

Also die alte Konfiguration läuft nun zumindest wieder.

 

Nun nochmal zu dem Problem mit dem anderen Zertifikat.

Ich habe gesehen das das Serverzertifikat als Zertifikatsverwendung nur Serverauthentifizierung stehen hat. Könnte es daran liegen?

[grizzly999 11]

Ja. Der zweck muss sein IPSEC oder Clientauthentifizierung.

Serverauth. ist nur für SSL. ich bin bei der bisherigen Problembeschreibung davon ausgegangen, dass dies bekannt ist ;)

 

grizzly999

[Minti 10]

Jo sorry tut mir leid das ich nicht darauf geachtet hatte