Jump to content

IPSEC mit Zertifikaten Step-by-Step


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ich habe jetzt schon Stundenlang hier im Board gesucht und mir auch von Microsoft das Dokument Deploying VPN angeguckt, desweiteren die Seiten der MS-Homepage die hier im Board verweisen, jedoch komme ich auf keinen grünen Zweig.

Ich möchte eine L2TP/IPSEC Verbindung herstellen bei der die Authentifizierung über ein Zertifikat funktioniert. Ich möchte Ihnen am besten alle meine Schritte beschreiben, denn dann gehen wir sicher das wir uns nicht verstricken und es zu Missverständnissen kommt.

 

Ich installiere auf einem windows 2000 der auch als DC fungiert die Zertifikatsdienste. Und zwar als Eigenständige Stammzertifizierungsstelle. Gebe der Zertifizierungsstelle einen Namen und belasse dann die Standardeinstellungen bei Datenbank und Protokoll.

 

Bei den Eigenschaften von Richtlinienmodul aktiviere ich Zertifikate immer ausstellen und Starte die Zertifikatsdienste neu damit die Einstellungen übernommen werden.

 

Unter lokaler Computer finde ich nun ein Zertifikat der Zertifizierungsstelle. Unter dem Punkt vertrauenswürdige Stammzertifizierungsstelle finde ich 2 Zertifikate die Augenscheinlich gleich sind (Garantiert die Identität eines Remotecomputers Garantiert dem Remotecomputer Ihre Identität)

Dieses finde ich auch unter Zwischenzertifizierungsstelle als Zertifikat.

 

Auf dem Client auf dem ich mit einen Domänen-Admin Account angemeldet bin verbinde ich mich mit dem IE auf den Zertifikatsserver. Zuerst wähle ich „Installieren Sie diesen Zertifizierungsstellen-Zertifikatspfad“ Das Zertifikat wird daraufhin installiert, und befindet sich auf dem Client unter Aktueller Benutzer im Verzeichnis Vertrauenswürdige Stammzertifizierungsstelle.

Nun sende ich ein Zertifikatsanforderungsformular mit folgenden Einstellungen:

Zweck: IPSEC-Zertifikat

Kryptografiedienstanbieter: Microsoft Base Cryptographic Provider V1.0,

Schlüsselgröße: 1024

Neuen Schlüsselsatz erstellen

Lokalen Speicherplatz verwenden

Dieses wird dann auch erfolgreich installiert.

Dies finde ich dann unter Lokaler Computer unter Eigene Zertifikate. Nun kopiere ich von Aktueller Benutzer das Zertifikat der Vertrauenswürdigen Stammzertifizierungsstelle nach Lokaler Computer Vertrauenswürdige Stammzertifizierungsstelle.

Jetzt erstelle ich ein Clientauthentifizierungszertifikat mit den gleichen Einstellungen wie bei dem IPSEC-Zertifikat, und finde dies unter Lokaler Computer unter Eigene Zertifikate.

 

Nun erstelle ich auf dem Server ein Serverauthentifizierungszertifikat mit den gleichen Einstellungen wie beim oben genannten IPSEC-Zertifikat. Sowie einem IPSEC-Zertifikat.

Diese beiden finde ich dann unter Lokaler Computer unter Eigene Zertifikate.

 

Nun erstelle ich auf dem Server die lokale IPSEC-Richtlinie. Ich weise die Richtlinie Sicherer Server erforderlich zu und gebe als Authentifizierungsmethode die Zertifizierungsstelle an.

Die gleiche Richtlinie erstelle ich auch auf dem Client.

Auf dem Client erstelle ich dann mit dem Wizard eine VPN Verbindung, bei der ich den Server korrekt eintrage. Unter den Eigenschaften der Verbindung konfiguriere ich dann unter Erweiterte Sicherheitseinstellungen – EAP – Zertifikat auf diesem Computer verwenden und gebe dann die Vertraute Stammzertifizierungsstelle an. Beim Verbindungsaufbau bekomme ich dann folgende Fehlermeldung: Fehler 798 Es konnte kein Zertifikat gefunden werden das mit EAP genutzt werden konnte.

Was fehlt? Für Ihre Hilfe bedanke ich mich im Vorraus!

Link zu diesem Kommentar

Hallo und willkommen im Board :)

 

Sieht ja fast alles gut aus, aber du darfst nicht EAP als Authentifizierung auswählen, deabei geht es um die benutzerauthentifizierung, nicht die Authentifizierung der Tunnelendpunkte. Die Benutzerauth. bleibt auf MS-CHAP oder MS-CHAP V2. Der Tunnel sollte dann nach der Auth. automatisch über L2TP aufgebaut werden.

 

grizzly999

Link zu diesem Kommentar

Ich hätte da noch eine Frage:

Ich hab bei Server und bei Client in den IPSEC Richtlinien angegeben das für die Verschlüsselung 3DES genutzt wird, ich erlaube also nur Verbindungen die mit Zertifikat authentifiziert werden, für ESP habe ich dann SHA1 und 3DES ausgewählt.

Wenn ich die Verbindung nun aufbaue, sehe ich unter den Verbindungsdetails unter IPSEC-Verschlüsselung: IPSEC, ESP, DES-56 müsste da nicht was von 3DES Stehen?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...