Zertifikatserver über Inet ansprechen!

[*2003ServerUser 10]

Hallo,

 

ich habe nach Anleitung der Site: VPN Einwahl mit Zertifikaten

ein Server aufgesetzt der den VPN Verkehr steuern soll.

 

Nun habe ich aber folgendes Problem:

In Punkt 7 der Anleitung steht beschrieben, dass man vom Client der per VPN auf den Server zugreifen soll, sich zunächst das Zertifikat holen muss und installieren muss.

Das Problem ist nun, dass ich vom entfernten Rechner über Inet nicht auf den Zertifikatserver zugreifen kann.

 

Kann mir hier jemand sagen woran es vielleicht hängen kann??? (Firewall sind Port 1723+47 frei!!!)

Oder habe ich was in der Anleitung falsch verstanden?

 

Vielen Dank

[grizzly999 11]

Entweder du hängst den Client ins LAN und forderst ein Zertifikat an, oder du machst den Zertifikatsserver (wir reden vn einer MS CA?) über Port 80 oder 443 von aussen zugänglich, oder, aber das kommt dann auf die CA und die Zertifikatsvorlage an, du forderst das Zertifikat auf einem internen Rechner an und exportierst es nebst private key, um es dann manuell auf dem anderen Rechner zu installieren.

 

 

grizzly999

 

P.S: was willst du uns damit sagen?

Kann mir hier jemand sagen woran es vielleicht hängen kann??? (Firewall sind Port 1723+47 frei!!!)

[*2003ServerUser 10]

Huhu,

 

habe das mit dem Export durchgeführt, danach installiert. Nun bekomme ich aber eine Meldung, wenn ich die Eigenschaften der VPN-Verbindung am Client ändere, die so aussieht:

Fehler 798: Es konnte kein Zertifikat gefunden werden, das mit dem Extensible Authentication-Protocoll verwendet werden kann.

 

Was bedeutet das?

[Hr_Rossi 10]

hi

 

hast du ein benutzerzertifikat installiert ?

 

lg

[*2003ServerUser 10]

Jupp.

 

Habe es wie oben im Link beschrieben gemacht!!!

Die komplette Installation wurde nach diesem Link gemacht!!

[Hr_Rossi 10]

hi,

 

 

also wenn du die mmc aufmachst und dann auf snap-in zertifikate gehst und dann auf eigenes benutzerkonto, hast du unter eigene zertifikate --> zertifikate ein zertifikat drinnstehen oder ?

 

dies gilt auch für das computerzertifikate....

 

 

 

wenn du beim vpn-client eigenschaften auf sicherheit --> einstellungen -->EAP gehst hats du dann auch angewählt ... zertifikat auf diesem computer verwenden ?

 

lg

[*2003ServerUser 10]

Ist alles so wie du es beschrieben hast!!!

 

Unter Zertifikate steht das Zertifikat mit drinne.

 

Und der Hacken bei: "Zertifikat auf diesem Computer verwenden / Einfache Zertifikatauswahl" ist gesetzt.

[Hr_Rossi 10]

ok

und trotzdem meckert er das er das zert für eap nicht gebrauchen kann....

 

welche zertifikatseigenschaften hat das user-zert für was kann man es einsetzen ?

 

lg

[Purecut 10]

Jupp.

 

Habe es wie oben im Link beschrieben gemacht!!!

Die komplette Installation wurde nach diesem Link gemacht!!

 

Ich denke mal Du hast ein Benutzerzertifikat installiert. Was Du aber benötigst für IPSec/L2TP ist ein Computerzertifikat.

 

1. Öffne über eine leere MMC. Unter Aktionen sagst du Snap-In hinzufügen und wählst "Zertifikate" aus. Bei der Auswahl welche Art von Zertifikat wählst du zunächst "Benutzerkonto". Dann fügst du wieder das Snap-In "Zertifikate" hinzu und klickst jetzt NICHT Benutzerkonto sondern "Computerkonto (lokales Computerkonto)" an. Jetzt hast du in der MMC zwei Snaps. Computerkonto & Benutzerkonto. Speicher diese neue MMC unter einem neuen Namen ab und öffne diese dann.

 

2. Gehe in der neuen MMC unter Computerkonto --> Eigene Zertifikate. Die Ansicht der MMC sollte auf "Logische Zertifikatsspeicher" stehen Ansicht --> Optionen --> Logische Zertifikatsspeicher.

 

3. Klicke mit der Maus auf "Eigene Zertifikate --> alle Task --> neues Zertifikat anfordern"

4. Ein Wizzard öffnet sich. Klicke --> Weiter" --> Wähle "Computer" aus --> Klicke "Weiter", trage die benötigten Informationen ein und dir wird von der CA ein Zertifikat ausgestellt. Danach ist das Computer Zertifikat in deinem Speicher an der richtigen Stelle.

 

Dann probiere nochmals eine Verbindung.

[Hr_Rossi 10]

Ich denke mal Du hast ein Benutzerzertifikat installiert. Was Du aber benötigst für IPSec/L2TP ist ein Computerzertifikat.

 

 

:suspect: :suspect:

 

für ipsec braucht er ein computer zert (oderPSK) stimmt soweit !

 

aber für EAP braucht er ein User-cert !!!

 

lg

[*2003ServerUser 10]

Danke erstmal!!!

 

Das Problem ist aber, dass der Client nicht in einem Netzwerk betrieben wird, sondern 300km vom Server entfernt steht.

 

Und wenn ich jetzt deine Schritte durchführe, dann kommt die Meldung "Der Assistent kann nicht gestartet werden, da keine Verbindung mit dem Active Directory hergestellt werden kann".

 

Un nu? :rolleyes:

[Hr_Rossi 10]

naja wenn er keine verbindung zur domain hat wird er auch schwer den zert-server erreichen können :suspect:

 

was mich interessiert welche zertifikate und wie hast du diese implementiert ?

 

eien abhilfe wäre eien pptp verbindung ins netz herzustellen (dazu brauchst du keien certs und ist einfach zu konf) und danach die zert anforderung über die mmc voarsugesetzt du hast eien funktionieredne namensauflösung zum server bzw. zur domain...

 

lg

[*2003ServerUser 10]

Hi,

 

habe die Zertifikate wie eben beschrieben implementiert, bzw. wie bei meinem Link am Anfang implementiert.

 

Wie kann ich den einen PPTP Verbindung aufbauen? Was sind die Vorteile und Nachteile?

[Hr_Rossi 10]

nochmal meine frage wie konntest du die zert. implementieren wenn du KEINE verbindung zu AD hattest ?

 

lg

[*2003ServerUser 10]

Achso :)

 

Also ich habe das Zertifikat lokal am Server gedownloadet.

Dann auf den Client kopiert und es hier per "Doppelklick" installiert!!!!

 

War sicher falsch so, oder? :)