SSLVPN mit Zertifikat von Startcom

[Joerg Wiessner 10]

Hallo Forengemeinde,

 

ich kämpfe zur Zeit mit der Bereitstellung von SSLVPN auf einem 1800er Testrouter.

 

Das SSLVPN habe ich ohne Probleme zum laufen bekommen aber um das ganze "rund" zu bekommen wollte ich gerne ein gültiges SSL Zertifikat verwenden. Aktuell verwendet ich die IOS PKI mit einem Selfsigned Zertifikat, wobei das eben nur eine Zwischenlösung sein soll, da das Zertifikat auf jedem neuen PC verständlicherweise eine Fehlermeldung bringt... ;)

 

Durch die ct bin ich auf Startcom.org gekommen, die kostenlose Zertifikate nur über die Domainprüfung erteilen, was für mich allerdings vollkommen ausreicht.

 

crypto pki trustpoint sslvpn
enrollment terminal
fqdn ****
subject-name cn=****,o=****.CC,c=DE, st=NRW
revocation-check none
rsakeypair sslvpn 

 

Nach dem enrollment von diesem Trustpoint hatte ich das passende CRL mit dem ich dann auch von Startcom das benötigte Zertifikat erhalten habe.

 

Das einlesen des Zertifikats schlägt aber im Debug mit den folgenden Meldungen fehl:

 

Sep 16 15:16:38.259: Read 2185 bytes as CA certificate:
Sep 16 15:16:38.259: ../cert-c/source/certobj.c(1505) : E_INPUT_DATA : invalid encoding format for input data
Sep 16 15:16:38.259: ../cert-c/source/certobj.c(1517) : E_CERT_EXTENSIONS : invalid encoded format for extensions
Sep 16 15:16:38.259: ../cert-c/source/certobj.c(874) : E_CERT_EXTENSIONS : invalid encoded format for extensions
Sep 16 15:16:38.259: CRYPTO_PKI: status = 0x72A(E_CERT_EXTENSIONS : invalid encoded format for extensions): BER/DER decoding of certificate has failed
Sep 16 15:16:38.259: CRYPTO_PKI: status = 65535: failed to get key usage from cert
Sep 16 15:16:38.259: CRYPTO_PKI: status = 65535: failed to verify or insert the cert into storage

 

Die Trustpoints mit den Zertifikaten der Startcom_Root_Ca und der Startcom_Intermediate_Ca existieren und langsam habe ich keine Ahnung mehr wo ich noch suchen soll.

 

Unter dem folgenden Link habe ich zusammen mit einem Leidensgenossen schon das ein oder andere mit den Jungs von Startcom getestet. Aber leider kommen wir nicht wirklich weiter.

 

StartCom :: View topic - Import certificate in Cisco router ( 2821 , IOS 12.4.15T1 )

 

Vielleicht hat ja jemand von Euch den heißen Tip.

 

Danke und Gruß

Joerg

[Wordo 11]

Ich glaub du kannst nur Base64 Zertifikate installieren, hab das vor Kurzem mal in nem ASA Buch gelesen.

[Joerg Wiessner 10]

Ich bin leider mit den Zertifikaten noch nicht so bewandert, aber sollte das nicht Grundsätzlich BASE64 sein?

[Wordo 11]

Eigentlich ja, aber du hast glaub ich ein falsches Format bekommen/runtergeladen:

 

"DER decoding of certificate has failed"

[Joerg Wiessner 10]

Das ist das was ich auch nicht wirklich verstehe, denn das Zertifikat ist defenitiv base64 codiert.

[Wordo 11]

Wie hast du deine RSA Keys erstellt? Label == CA_name? Hab mal den Thread gelesen aber nicht die Ciscolinks ..

[Joerg Wiessner 10]

hmm... ich hatte einen neuen RSA Keypair mit 2048 Bit erstellt.

 

Key name: sslvpn
Storage Device: private-config
Usage: General Purpose Key
Key is exportable.

[mturba 10]

Hast du mal versucht, dir das Zertifikat anzeigen zu lassen, z.B. unter Windows oder unter Linux mit openssl?

[Joerg Wiessner 10]

Hat sich geklärt. Es scheint wohl ein Problem innerhalb der Zertifikate von Startcom zu sein. Hier scheint es wohl eine Extension zu geben die der Cisco nicht mag.

 

Workaround: Cert von CAcert.org holen, ist auch kostenlos... ;)

 

Gruß Joerg