VPN mit Zertifizierung - Wie gemacht?

[Nacho 10]

Hallo!

 

Folgendermaßen:

Ich habe einen Server der als Domain Controller sowie DNS Server läuft.

IIS ist installiert, Zertifizierungsdienste ebenfalls.

 

VPN ist bereits auch über RAS & Routing eingerichtet.

Nun versuch ich mit dem Client über VPN auf dem Server einzuloggen. Fehlermeldung: Er verlangt ein Zertifikat. Soweit so gut aber wie erstelle ich für IPSec denn ein Zertifikat?

 

Hab schon graue Haare deswegen und leider ist es wie so oft recht dringend :(

[heinzelrumpel 10]

hier wird dir geholfen

 

http://www.gruppenrichtlinien.de/index.html?/HowTo/VPN_Remote_Einwahl.htm

[Nacho 10]

Das Ding hatte ich auch schon gefunden gehabt aber eins ist mir unklar.

 

Ich stelle ja die VPN-Verbindung auf IPSec mit Chap V2 ein. Das heisst über Benutzername und Kennwort. Wenn ich nun eine Verbindung aufbauen will verlangt er ein Zertifikat.

Gut wenn ich die Sache mit den Zertifikaten einstelle, so wie auf "Gruppenrichtlinien" erklärt, hab ich kein IPSec mehr sonder PPTP+GRE. Das will ich aber nicht.

Ebenso muss man dann keinen B.Namen und Kennwort mehr angeben sondern nur ein Zertifikat auswählen.

 

Eine Frage nebenbei, verlangt er bei allem das mit IPSec zu tun hat ein Zertifikat?

 

Ich hoffe hier kann mir jemand helfen, mein Google glüht schon :D

 

 

Ahja...die Einstellungen meines Routing & RAS sind identisch der auf "Gruppenrichtlinien" :)

[Nacho 10]

 

Eine Frage nebenbei, verlangt er bei allem das mit IPSec zu tun hat ein Zertifikat?

 

 

 

Hab da was gefunden das meine Frage beantwortet:

Standardmäßig sind sowohl der L2TP-Client als auch der L2TP-Server für Windows Server 2003 für die zertifikatbasierte IPSec-Authentifizierung vorkonfiguriert. Wenn Sie eine L2TP über IPSec-Verbindung herstellen, wird automatisch eine IPSec-Richtlinie erstellt, die angibt, dass im Internetschlüsselaustausch (Internet Key Exchange, IKE) während der Aushandlung der Sicherheitseinstellungen für L2TP zertifikatbasierte Authentifizierung verwendet wird. Dies bedeutet, dass sowohl auf dem L2TP-Client als auch auf dem L2TP-Server ein Computerzertifikat installiert sein muss, bevor eine erfolgreiche L2TP über IPSec-Verbindung hergestellt werden kann. Beide Computerzertifikate müssen entweder von derselben Zertifizierungsstelle (Certificate Authority, CA) stammen, oder das Stammzertifikat der CA jedes einzelnen Computers muss als vertrauenswürdige Stammzertifizierungsstelle auf dem anderen Computer im Speicher für vertrauenswürdige Stammzertifikate installiert sein.

 

Edit: Tja leider haut das nicht so richtig hin mit dem Zertifikat.

Wo muss ich es erstellen/exportieren und wohin kopieren/importieren?

[Nacho 10]

keiner da der mir helfen kann?:(

[raisu_de 10]

Hi Nacho,

 

um die Zertifikate zu erstellen brauchst Du eine Zertifizierungsstelle. Hast Du schon eine ?

 

Am einfachsten für Dich zu konfigurieren wäre die Geschichte wenn der VPN Client Mitglied der Domäne ist. Ist das der Fall ?

 

schöne Grüße

[Nacho 10]

Aaalso:

 

Hab nen Server auf dem VPN schon ohne Probs läuft.

Zertifizierungsstelle hab ich auch.

 

Nun hab ich einen zweiten Pc in der Domäne der als Testanschaltung über L2TP/IPSec sich einwählen soll. Soll aber natürlich auch von ausserhalb gehen...

 

Es kommt aber immer die Meldung das kein Zertifikat verfügbar ist.

 

Es muss zwar über Benutzernamen und Kennwort gehen aber er brauch ja anscheinend trotzdem ein Zertifikat, siehe meinen obigen Post.

 

 

Jetzt ist halt die Frage wie ich solch ein Zertifikat erstelle und es auf dem Client einspiele.

[Nacho 10]

Kann mir denn gar keiner helfen?

 

Ich will doch nur nen Zertifikat für IPSec ausstellen und auf den Clients einspielen damit sich diese über VPN/IPSec einloggen können. Nur leider ist das für mich absolutes Neuland...wobei man annehmen sollte das MCSE Leute das schon gemacht haben oder zumindest sich da ein wenig auskennen