RockaFella 10 Geschrieben 23. April 2004 Melden Teilen Geschrieben 23. April 2004 Hallo, ich habe jetzt schon Stundenlang hier im Board gesucht und mir auch von Microsoft das Dokument Deploying VPN angeguckt, desweiteren die Seiten der MS-Homepage die hier im Board verweisen, jedoch komme ich auf keinen grünen Zweig. Ich möchte eine L2TP/IPSEC Verbindung herstellen bei der die Authentifizierung über ein Zertifikat funktioniert. Ich möchte Ihnen am besten alle meine Schritte beschreiben, denn dann gehen wir sicher das wir uns nicht verstricken und es zu Missverständnissen kommt. Ich installiere auf einem windows 2000 der auch als DC fungiert die Zertifikatsdienste. Und zwar als Eigenständige Stammzertifizierungsstelle. Gebe der Zertifizierungsstelle einen Namen und belasse dann die Standardeinstellungen bei Datenbank und Protokoll. Bei den Eigenschaften von Richtlinienmodul aktiviere ich Zertifikate immer ausstellen und Starte die Zertifikatsdienste neu damit die Einstellungen übernommen werden. Unter lokaler Computer finde ich nun ein Zertifikat der Zertifizierungsstelle. Unter dem Punkt vertrauenswürdige Stammzertifizierungsstelle finde ich 2 Zertifikate die Augenscheinlich gleich sind (Garantiert die Identität eines Remotecomputers Garantiert dem Remotecomputer Ihre Identität) Dieses finde ich auch unter Zwischenzertifizierungsstelle als Zertifikat. Auf dem Client auf dem ich mit einen Domänen-Admin Account angemeldet bin verbinde ich mich mit dem IE auf den Zertifikatsserver. Zuerst wähle ich „Installieren Sie diesen Zertifizierungsstellen-Zertifikatspfad“ Das Zertifikat wird daraufhin installiert, und befindet sich auf dem Client unter Aktueller Benutzer im Verzeichnis Vertrauenswürdige Stammzertifizierungsstelle. Nun sende ich ein Zertifikatsanforderungsformular mit folgenden Einstellungen: Zweck: IPSEC-Zertifikat Kryptografiedienstanbieter: Microsoft Base Cryptographic Provider V1.0, Schlüsselgröße: 1024 Neuen Schlüsselsatz erstellen Lokalen Speicherplatz verwenden Dieses wird dann auch erfolgreich installiert. Dies finde ich dann unter Lokaler Computer unter Eigene Zertifikate. Nun kopiere ich von Aktueller Benutzer das Zertifikat der Vertrauenswürdigen Stammzertifizierungsstelle nach Lokaler Computer Vertrauenswürdige Stammzertifizierungsstelle. Jetzt erstelle ich ein Clientauthentifizierungszertifikat mit den gleichen Einstellungen wie bei dem IPSEC-Zertifikat, und finde dies unter Lokaler Computer unter Eigene Zertifikate. Nun erstelle ich auf dem Server ein Serverauthentifizierungszertifikat mit den gleichen Einstellungen wie beim oben genannten IPSEC-Zertifikat. Sowie einem IPSEC-Zertifikat. Diese beiden finde ich dann unter Lokaler Computer unter Eigene Zertifikate. Nun erstelle ich auf dem Server die lokale IPSEC-Richtlinie. Ich weise die Richtlinie Sicherer Server erforderlich zu und gebe als Authentifizierungsmethode die Zertifizierungsstelle an. Die gleiche Richtlinie erstelle ich auch auf dem Client. Auf dem Client erstelle ich dann mit dem Wizard eine VPN Verbindung, bei der ich den Server korrekt eintrage. Unter den Eigenschaften der Verbindung konfiguriere ich dann unter Erweiterte Sicherheitseinstellungen – EAP – Zertifikat auf diesem Computer verwenden und gebe dann die Vertraute Stammzertifizierungsstelle an. Beim Verbindungsaufbau bekomme ich dann folgende Fehlermeldung: Fehler 798 Es konnte kein Zertifikat gefunden werden das mit EAP genutzt werden konnte. Was fehlt? Für Ihre Hilfe bedanke ich mich im Vorraus! Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 23. April 2004 Melden Teilen Geschrieben 23. April 2004 Hallo und willkommen im Board :) Sieht ja fast alles gut aus, aber du darfst nicht EAP als Authentifizierung auswählen, deabei geht es um die benutzerauthentifizierung, nicht die Authentifizierung der Tunnelendpunkte. Die Benutzerauth. bleibt auf MS-CHAP oder MS-CHAP V2. Der Tunnel sollte dann nach der Auth. automatisch über L2TP aufgebaut werden. grizzly999 Zitieren Link zu diesem Kommentar
RockaFella 10 Geschrieben 23. April 2004 Autor Melden Teilen Geschrieben 23. April 2004 Also ersteinmal danke für das Willkomen und den erfolgreichen Typ. Nun funktioniert es. Jedoch frage ich mich, ob ich nicht auch für die Authentifizierung ein Benutzerzertifikat nutzen kann? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 24. April 2004 Melden Teilen Geschrieben 24. April 2004 Ja, mit Smartcard. Dann muss man auch EAP auswählen. grizzly999 Zitieren Link zu diesem Kommentar
RockaFella 10 Geschrieben 24. April 2004 Autor Melden Teilen Geschrieben 24. April 2004 Ich hätte da noch eine Frage: Ich hab bei Server und bei Client in den IPSEC Richtlinien angegeben das für die Verschlüsselung 3DES genutzt wird, ich erlaube also nur Verbindungen die mit Zertifikat authentifiziert werden, für ESP habe ich dann SHA1 und 3DES ausgewählt. Wenn ich die Verbindung nun aufbaue, sehe ich unter den Verbindungsdetails unter IPSEC-Verschlüsselung: IPSEC, ESP, DES-56 müsste da nicht was von 3DES Stehen? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 24. April 2004 Melden Teilen Geschrieben 24. April 2004 Bloede Frage: mind. SP2 ist auf beiden Maschinen installiert? grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.