thoth 10 Geschrieben 24. März 2005 Melden Teilen Geschrieben 24. März 2005 Hallo, ich teste momentan über unser LAN einen RAS VPN Server. Mit domäneninternen Client-PCs, funktioniert dies alles wunderbar, da hier Computerzertifikate von der CA ausgestellt werden können.. Nur, bei den externen PCs/Notebooks habe ich keinerlei Computer-Zertifikate. Wenn ich mich mit einem solchen externen Gerät nun per Browser auf unsere CA schalte und ein neues Zertifikat anfordern will, erhalte ich nur Benutzerzertifikate... Damit ist eine VPn Verbindung aber nicht möglich, weil er mir sagt es konnte kein gültiges Zertifikat auf dem Computer finden.. HILFE!!! was machen denn jetzt später unsere Homeuser, welche von einem privaten PC aus versuchen in unser Netz zu kommen? Deren Pc ist ja auch nicht Domänenmitglied.. :/ Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 24. März 2005 Melden Teilen Geschrieben 24. März 2005 Folgenden Text habe ich selbst noch nicht gelesen, aber vielleicht hilft es dir weiter: http://www.gruppenrichtlinien.de/index.html?/HowTo/VPN_Remote_Einwahl.htm Zitieren Link zu diesem Kommentar
thoth 10 Geschrieben 24. März 2005 Autor Melden Teilen Geschrieben 24. März 2005 nope, tut er leider nicht :( Zitieren Link zu diesem Kommentar
heinzelrumpel 10 Geschrieben 24. März 2005 Melden Teilen Geschrieben 24. März 2005 Hallo, Nur, bei den externen PCs/Notebooks habe ich keinerlei Computer-Zertifikate. Wenn ich mich mit einem solchen externen Gerät nun per Browser auf unsere CA schalte und ein neues Zertifikat anfordern will, erhalte ich nur Benutzerzertifikate... :/ ein bebutzerzertifikat ist aber auch genau das was du brauchst. schau mal im mmc auf zertifikate und dann auf computerkonto. dort sollte in "vertrauenswürdige stammzertifizierung -->Stammzertifikate" das von http://dein_server/certsrv angefordertes zertifikat liegen. ggf. auch noch eins in "eigene zertifikate" wie hast du denn die client einstellung bewerkstelligt? gruß heinzelrumpel Zitieren Link zu diesem Kommentar
thoth 10 Geschrieben 27. März 2005 Autor Melden Teilen Geschrieben 27. März 2005 bei der client vpn verbindung (windowes xp) habe ich unter dem reiter 'sicherheit' -> erweitert, Anmeldesicherheit habe ich "Extensible Authentication Protocol" ausgewählt, mit "Smartcard oder anderes Zertifikat". Und unter dem Reiter "sicherheit" den VPN-TYp auf L2TP-IPSec-VPN. Und dann sagt er mir jedesmal bie der Verbindung, dass hierzu kein gültige Zertifikat auf dem Rechner sei. Es funktioniert tatsächlich nur, wenn ich ein Computerzertifikat installiert habe. Ode rich mache etwas sehr falsch :/ Zitieren Link zu diesem Kommentar
heinzelrumpel 10 Geschrieben 27. März 2005 Melden Teilen Geschrieben 27. März 2005 EAp brauchst du nicht, nur unter erweitert chap und ms chap ver.2. wenn dann die zertifikate im xp client an der richtigen stelle liegen und der jeweilige benutzer einwahlrecht am ras server hat sollte es klappen. Zitieren Link zu diesem Kommentar
thoth 10 Geschrieben 28. März 2005 Autor Melden Teilen Geschrieben 28. März 2005 für chap braucht man allerdings keine zertifikate, das ist doch nur normale user/kennwort abfrage meines wissens nach, korrekt? wenn man allerdings mit zertifkaten arbeiten möchte, ist EAP doch erforderlich.. odeR? Zitieren Link zu diesem Kommentar
raisu_de 10 Geschrieben 28. März 2005 Melden Teilen Geschrieben 28. März 2005 EAP heißt Du hast Dich entweder für Smartcard oder Benutzerzertifikate entschieden. Wenn Du L2TP verwenden willst brauchst Du ein Clientzertifikat für IPSEC. Für domänenfremde Rechner mußt Du ein IPSEC-Client Zertifikat einer eigenständigen Zertifizierungsstelle verwenden. Du brauchst also eine zweite Zertifizierungsstelle.Wichtig ist jedoch immer, dass Du die entsperechende CAs auch in die Liste der vertrauenswürdigen CAs aufnimmst, da ansonsten die Zertifikate nicht verwendet werden. Der link auf http://www.gruppenrichtlinien.de ist diesbezüglich wirklich sehr gut. Lies ihn nochmal in Ruhe durch. Es steht wirklich alles drin was Du zur Lösung benötigst. schöne Grüße Zitieren Link zu diesem Kommentar
Dr Kiffer 10 Geschrieben 29. März 2005 Melden Teilen Geschrieben 29. März 2005 Hi Leute, erstmal vorweg. Für die IPSEC verbindung braucht man ein ComputerZertifikat mit "Clientauthentifizierung" und für EAP ein Benutzerzertifikat mit "Benutzerauthentifizierung". So nun zum Problem: Es gibt da noch nen Trick wie du es auch mit einer DomänenZertifizieurngsstelle schaffst ein Computer Zertifikat auf Domänen Fremde Rechner zu packen. Dazu benötigst du allerdings ne Enterprise Edition des 2003 Servers: und so gehts... du erstellst einfach ein Duplikat des IPSEC Zertifikats und in den Eigenschaften unter Anforderungsverarbeitung markierst du "Exportieren von Privaten Schlüssel zulassen" Anschliessend kannst du das Zertifikat mit privatem Schlüssel Exportieren und auf einem anderen Client importieren! Gruß Dr.Kiffer Zitieren Link zu diesem Kommentar
holgi_man 10 Geschrieben 30. März 2005 Melden Teilen Geschrieben 30. März 2005 Hallo @ all @ Dr Kiffer dieses Exportieren funzt auch seit w2k soweit ich weiß Achtung: diese aktion setzt gleichzeitig die Sicherheit herab !!! 2. Wichtig ist IPSec mit L2TP = 2 x Computer CA oder IPSec CA von der gleichen Zertifizierungsstelle wo auch immer sich diese befindet. 3. Vieleicht erst mal mit Pre Shared Key versuchen mit den freundlichsten holgi :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.