VPN IPSEC Zertifikate

[Dr Kiffer 10]

Hi Leute.

 

Hab mal eine Frage bezüglich VPN+IPSec.

Wie oder ist es überhaupt möglich eine VPN-Verbindung über L2tp IPSec laufen zulassen wenn:

 

1. Keine Preshared Key zuverwenden

2. Den Client nicht in eine Domäne zu integrieren (Auch nicht kurzzeitig)

 

Umgebung ist ein:

Win2k3 Standard mit Unternehmens StammZertifizierungstelle.

VPN Benutzerauthentifizierung erfolgt über Smartcards.

IPSec funktioniert nur wenn sich rechner zuert über pptp verbinden die rechner in die domäne integriert wurden, ein Zertifikat z.B IPSEC oder eins mit Clientauthentifizierung bezogen wird und der rechner in der Domäne bleibt oder austritt ist egal, da das Computer Zertifikat erhalten bleibt.

 

Clients sind Windows XP

 

Jetzt ist die Frage wie bekomme ich das mit dem IPSec hin ohne zuvor mitglied der Domäne gewesen zu sein!?!

Kann mir jemand helfen?

 

Gruß

 

Dr.Kiffer

[grizzly999 11]

Mit einer eigenständigen Zertifizierungsstelle wäre das jetzt kein Problem.

Bei einer Unternehmenszertifierungsstelle können ja nur Security Principals, in dem Fall Computer aus dem AD ein Zertifikat anfordern.

Aber mit *räusper* "etwas" Aufwand ist das auch machbar:

Da ich jetzt leider keine ausführliche Anleitung schreiben kann, nur kurz in Stichworten das Vorgehen:

 

- in der Zertifizierungsstelle eine Kopie der IPSec-Richtlinienvorlage erstellen. Dabei bei den Anforderungsverbeitungen den privaten Schlüssel als exportierbar erlauben.

- diese neue Vorlage zur Anforderung freigeben

- wichtig: einige Minuten warten!

- Mittels einer selbsterstellten MMC (Zertifikate->Lokaler Computer) ein Zertifikat anfordern. Dabei die neue Vorlage auswählen

- Nach Erhalt der Zertifikats kann dieses mit samt dem privaten Schlüssel exportiert werden

- Auf dem Zielrechner importieren

- Rootzertifikat auf Zielrechner importieren nicht vergessen

 

HTH

 

grizzly999

[Dr Kiffer 10]

Hi. Danke für die Antwort.

 

Hört sich sogar richtig plausibel an. Hab nur noch ein Problem. Wenn ich diese Doppelte Vorlage erstelle, dann benötigt diese min. Eine Windows 2003 Server Enterprise Zertifizierungstelle Habe allerdings nur die Standard. Gibt es da eine möglichkeit, eine Version 1 Vorlage oder ähnlich zu erstellen?

 

Gruß

 

Dr.Kiffer

[grizzly999 11]

Ja, da hast du recht, das habe ich nicht dazugeschrieben, weil das Arbeiten an einer EE in meinen Umgebungen schon selbstverständlich geworden ist :o

Und nein, da ist dann Ende der Fahnenstange, die SE kann nur mit V1 Vorlagen arbeiten, und bei denen ist IMHO der private key nie als exportierbar markiert, womit man ihn dann auch aus dem Computer nicht herausbringt.

 

Als Alternative fällt mir nur ein:

1.) Deine Lösung (Client zuerst in die Domäne, dann rausnehmen)

2.) Wenn noch ein Server da ist, dort eine eigenständige Zertifizierungsstelle aufbauen, Zertifikate (am leichtesten über den Webbrowser) anzufordern und dabei den private key als exportierbar markieren. Der VPN-Server braucht dann eben auch so einZertifikat nebst Root-CA-Zert.

 

Sorry, mehr habe ich im Moment nicht anzubieten.

 

 

grizzly999

[Dr Kiffer 10]

Ja danke trotzdem.

 

Aber eine idee bzw. frage hätt ich noch.

 

Wie ist das denn wenn ich z.B unter vmware eine Enterprice CA aufsetze (Habe hier noch eine 180 Tage Testversion) diese als ausstellende Zertifizieurngstelle einrichte, das zertifikat über diese dann an einen Client ausgebe und dann die virtual machine wieder lösche.

Düfte doch eigentlich klappen, ausser das ich nach ablauf der Zertifikate wieder diese (oder eine??) Enterprice CA brauche?

oder habe ich was übersehen?

 

Gruß

 

Dr.Kiffer

[grizzly999 11]

Technisch würde das natürlich gehen, lizenzrechtlich müsste das auch ok. sein, wenn man die EvalVersion nach Ablauf deinstalliert. Zertifikate dürften vom Ablauf nicht betroffen sein, Textfiles, die ich damit erstellt habe, muss ich ja danach auch nicht vernichten :D

 

grizzly999

[Dr Kiffer 10]

Alles klar...

 

Dann Dank ich erstmal und werde mich mal ran machen.

 

Schönen Abend noch

 

Gruß

 

Dr.Kiffer