thoth 10 Geschrieben 24. März 2005 Melden Geschrieben 24. März 2005 Hallo, ich teste momentan über unser LAN einen RAS VPN Server. Mit domäneninternen Client-PCs, funktioniert dies alles wunderbar, da hier Computerzertifikate von der CA ausgestellt werden können.. Nur, bei den externen PCs/Notebooks habe ich keinerlei Computer-Zertifikate. Wenn ich mich mit einem solchen externen Gerät nun per Browser auf unsere CA schalte und ein neues Zertifikat anfordern will, erhalte ich nur Benutzerzertifikate... Damit ist eine VPn Verbindung aber nicht möglich, weil er mir sagt es konnte kein gültiges Zertifikat auf dem Computer finden.. HILFE!!! was machen denn jetzt später unsere Homeuser, welche von einem privaten PC aus versuchen in unser Netz zu kommen? Deren Pc ist ja auch nicht Domänenmitglied.. :/ Zitieren
carlito 10 Geschrieben 24. März 2005 Melden Geschrieben 24. März 2005 Folgenden Text habe ich selbst noch nicht gelesen, aber vielleicht hilft es dir weiter: http://www.gruppenrichtlinien.de/index.html?/HowTo/VPN_Remote_Einwahl.htm Zitieren
thoth 10 Geschrieben 24. März 2005 Autor Melden Geschrieben 24. März 2005 nope, tut er leider nicht :( Zitieren
heinzelrumpel 10 Geschrieben 24. März 2005 Melden Geschrieben 24. März 2005 Hallo, Nur, bei den externen PCs/Notebooks habe ich keinerlei Computer-Zertifikate. Wenn ich mich mit einem solchen externen Gerät nun per Browser auf unsere CA schalte und ein neues Zertifikat anfordern will, erhalte ich nur Benutzerzertifikate... :/ ein bebutzerzertifikat ist aber auch genau das was du brauchst. schau mal im mmc auf zertifikate und dann auf computerkonto. dort sollte in "vertrauenswürdige stammzertifizierung -->Stammzertifikate" das von http://dein_server/certsrv angefordertes zertifikat liegen. ggf. auch noch eins in "eigene zertifikate" wie hast du denn die client einstellung bewerkstelligt? gruß heinzelrumpel Zitieren
thoth 10 Geschrieben 27. März 2005 Autor Melden Geschrieben 27. März 2005 bei der client vpn verbindung (windowes xp) habe ich unter dem reiter 'sicherheit' -> erweitert, Anmeldesicherheit habe ich "Extensible Authentication Protocol" ausgewählt, mit "Smartcard oder anderes Zertifikat". Und unter dem Reiter "sicherheit" den VPN-TYp auf L2TP-IPSec-VPN. Und dann sagt er mir jedesmal bie der Verbindung, dass hierzu kein gültige Zertifikat auf dem Rechner sei. Es funktioniert tatsächlich nur, wenn ich ein Computerzertifikat installiert habe. Ode rich mache etwas sehr falsch :/ Zitieren
heinzelrumpel 10 Geschrieben 27. März 2005 Melden Geschrieben 27. März 2005 EAp brauchst du nicht, nur unter erweitert chap und ms chap ver.2. wenn dann die zertifikate im xp client an der richtigen stelle liegen und der jeweilige benutzer einwahlrecht am ras server hat sollte es klappen. Zitieren
thoth 10 Geschrieben 28. März 2005 Autor Melden Geschrieben 28. März 2005 für chap braucht man allerdings keine zertifikate, das ist doch nur normale user/kennwort abfrage meines wissens nach, korrekt? wenn man allerdings mit zertifkaten arbeiten möchte, ist EAP doch erforderlich.. odeR? Zitieren
raisu_de 10 Geschrieben 28. März 2005 Melden Geschrieben 28. März 2005 EAP heißt Du hast Dich entweder für Smartcard oder Benutzerzertifikate entschieden. Wenn Du L2TP verwenden willst brauchst Du ein Clientzertifikat für IPSEC. Für domänenfremde Rechner mußt Du ein IPSEC-Client Zertifikat einer eigenständigen Zertifizierungsstelle verwenden. Du brauchst also eine zweite Zertifizierungsstelle.Wichtig ist jedoch immer, dass Du die entsperechende CAs auch in die Liste der vertrauenswürdigen CAs aufnimmst, da ansonsten die Zertifikate nicht verwendet werden. Der link auf http://www.gruppenrichtlinien.de ist diesbezüglich wirklich sehr gut. Lies ihn nochmal in Ruhe durch. Es steht wirklich alles drin was Du zur Lösung benötigst. schöne Grüße Zitieren
Dr Kiffer 10 Geschrieben 29. März 2005 Melden Geschrieben 29. März 2005 Hi Leute, erstmal vorweg. Für die IPSEC verbindung braucht man ein ComputerZertifikat mit "Clientauthentifizierung" und für EAP ein Benutzerzertifikat mit "Benutzerauthentifizierung". So nun zum Problem: Es gibt da noch nen Trick wie du es auch mit einer DomänenZertifizieurngsstelle schaffst ein Computer Zertifikat auf Domänen Fremde Rechner zu packen. Dazu benötigst du allerdings ne Enterprise Edition des 2003 Servers: und so gehts... du erstellst einfach ein Duplikat des IPSEC Zertifikats und in den Eigenschaften unter Anforderungsverarbeitung markierst du "Exportieren von Privaten Schlüssel zulassen" Anschliessend kannst du das Zertifikat mit privatem Schlüssel Exportieren und auf einem anderen Client importieren! Gruß Dr.Kiffer Zitieren
holgi_man 10 Geschrieben 30. März 2005 Melden Geschrieben 30. März 2005 Hallo @ all @ Dr Kiffer dieses Exportieren funzt auch seit w2k soweit ich weiß Achtung: diese aktion setzt gleichzeitig die Sicherheit herab !!! 2. Wichtig ist IPSec mit L2TP = 2 x Computer CA oder IPSec CA von der gleichen Zertifizierungsstelle wo auch immer sich diese befindet. 3. Vieleicht erst mal mit Pre Shared Key versuchen mit den freundlichsten holgi :) Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.