Mit Zertifikat von CA des WIN2k3 Standard .. an WIN2k Standard Server anmelden VPN

[lepfa 10]

Hallo ..

 

ist es möglich mit einem BenutzerZertifikat das von der CA eines WIN2k3 StandardServer ausgestellt wurde, sich an einen WIN2k StandardServer via VPN "PPTP" (Authmethode EAP) anzumelden? Ich stelle mir das so vor: die CA ist AD integriert (WIN2k3 Server) .. der Client ist ein NONDOMÄNMITGLIED (XP Pro SP2) .. dann exptortiere ich das ausgestellte Benutzerzertifikat Richtung WIN2kServer und richte dann RRAS VPN PPTP Auth. EAP auf dem Server ein. Geht dies?¿? Ich bekomme es nicht hin . gruß lepfa

[IThome 10]

Ich habe das mal erfolgreich nachgebaut (hat aber auch länger gedauert, bis ich es hinbekommen habe). Woran scheitert es bei Dir ?

[lepfa 10]

cool .. ich kann bei dem WIN2k Server bei RRAS nur Auth MS CHAP Ver 2 oder anderes User Kennwort Verfahren einstellen .. bei EAP kommt vom RAS Server (Richtlinien) kein Zertifikat gefunden ...! ich weiß nicht sorecht wo ich da ansetzen soll .. ich habe das Userzertifikat auf dem WIN2k Server via MMC SnapIn Zertifikat dem lokalen Computer hinzugefügt und zu Vetrauenswürdigen CA's hinzugefüt .. waren also 2 Zertifikate 1 für die CA und eins für den User .. Jetzt bin ich bei Zertifikaten nicht so fit, denn ich weiß nicht ob dem Benutzernamen bei der Ausstellung des Zertifikates seitens der CA vom WIN2k3 Server irgendwelche Parameter mit zur Erstellung benutzt werden, die der WIN2k Server nicht haben kann .. kann ich auf dem WIN2k Server einstellen, daß der CA die ich importiere vertraut werden kann und das Zertifikaten (Benutzer) die für die Einwahl via VPN vertraut werden kann?? thx

 

Edit: die Einwahl via PPTP Auth EAP Verschlüsselung MPPE 128 von dem XP Pro Client mit dem Userzertifikat von der WIN2k3 CA ist erfolgreich

[IThome 10]

Du brauchst für den RAS-Server ein Computerzertifikat (Serverauthentifizierung), kein Benutzerzertifikat. Ich habe das ber auch ein wenig falsch verstanden. Ich habe mir eine 2003 Enterprise CA erstellt auf DC erstellt, der auch gleichzeitig RRAS ist. Für den RRAS habe ich ein Computerzertifikat erstellt, der XP-Client hat sich via Web mit der CA verbunden und sich dort ein entsprechendes Benutzerzertifikat geholt.

edit: ich mach das jetzt noch mal mit einem 2000er

edit2: funktioniert genauso tadellos.

Konfiguration:

Windows 2003 Enterprise : Enterprise CA, AD, DNS

Windows 2000 Standard Server : RRAS , Member

Windows XP SP2 : Standalone, VPN-Client

[lepfa 10]

danke .. aber ich bin im Moment etwas verwirrt :cool:

 

Du schreibst

Du brauchst für den RAS-Server ein Computerzertifikat (Serverauthentifizierung), kein Benutzerzertifikat

.. meinst Du für den WIN2k Server? Ich kann Deiner Konfig nicht ganz folgen *sry*

 

Meine Konfig: WIN2k3 Server (Standard) CA DC AD . ole :-)

XP Client (NONDOMÄNMITGLIED) beantragt via WEB ein Benutzerzertifikat .. mit diesem kann er sich dann an dem RRAS der auch auf dem WIN"k3 Server läuft via VPN (EAP) authentifizieren.

 

Jetzt möchte ich das der XP Client mit diesem Zertifikat sich an einen WIN2k RRAS Server via Auth EAP verbinden kann. Dem WIN2k Server wollte ich mitteilen, daß die CA und das Benutzerzertifikat das von dieser CA ausgestellt wird soweit vertrauenswürdig ist, daß ein Benutzer sich an dem RRAS WIN2k Server anmelden kann. Ohne das ich dabei eine CA auf dem WIN2k Server installiere. Mit der Standard Versin kann ich keine Benutzerzertifikate ausstellen (an dem WIN2k Server) *puh* ich hoffe ich habe nichts verdreht :)

[IThome 10]

Wenn der 2000er Mitglied der Domäne ist, ist das Stammstellenzertifikat für ihn vertrauenswürdig. Jetzt benötigt er noch ein Computerzertifikat von der 2003er CA. Ich habe das mit einer Gruppenrichtlinie gemacht, habe mir also eine OU erstellt, dort den 2000er hinein (der 2000er muss auch Mitglied der Gruppe RAS- und IAS Server), ein GPO gelinkt mit der Einstellung in der Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Richtlinien öffentlicher Schlüssel - rechtsklick auf "Einstellungen der automatischen Zertifikatanforderung" - Neu ...

Dort wählst Du "Computer" aus, dann auf der 2000 Maschine SECEDIT /REFRESHPOLICY MACHINE_POLICY /ENFORCE

Alternativ kannst Du vom 2000er aus auch das Zertifikat mit Hilfe des Zertifikate MMC-Snapins (Computerkonto) anfordern.

[lepfa 10]

sry für meine Unbeholfenheit .. muß der 2000er Mitglied der Domäne sein? Eigentlich ist der 2000er der DC und der 2003er nur zu Testzwecken installiert .. den wollte ich nicht in die Domäne aufnehmen, weil noch viel darum herumexperimientiert wird. Und schnell mal wieder die Platte vom 2003er formatiert wird :)

[IThome 10]

Es ist auf jeden Fall deutlich einfacher ... und was heisst unbeholfen, ich mache mich auch erst richtig mit dem Thema PKI vertraut und habe da auch so meine Schwierigkeiten (ist aber auch ziemlich komplex das Ganze)

Warum willst Du die CA nicht auf dem 2000er installieren ?

[lepfa 10]

Warum willst Du die CA nicht auf dem 2000er installieren ?

ich dachte das wäre nicht nötig!

[IThome 10]

Naja, der 2003er ist ja nur zu Testzwecken da und das VPN soll doch wohl produktiv eingesetzt werden (oder nicht?). Dann würde ich die CA auf dem 2000er installieren, der ja wohl auch produktiv eingesetzt wird. Du kannst die CA natürlich auch auf einem anderen Server installieren ...

[lepfa 10]

Richtig. Aber ich kann doch mit dem WIN2k Server (Standard) keine Benutzerzertifikate ausstellen :(

[IThome 10]

Warum nicht ?

[lepfa 10]

Na weil der Client ein NONDOMÄN Mitglied ist .. das Benutzerzertifikat kann nur ab der Enterpriseversion ausgestellt werden . .soweit ich weiß :)

[IThome 10]

Das funktioniert einwandfrei ...

Konfiguration:

Windows 2000 Standard Server, DC, DNS, RRAS, Enterprise CA

XP SP2, Standalone, VPN-Client

[lepfa 10]

Stimmt .. funktioniert bestens :) ist es weiterhin möglich der CA mitzuteilen, nur Zertifikate an Benutzer einer bestimmten Gruppe auszustellen. Also ich dachte mir eine eigene Sicherheitsgruppe die keine Domänusermitgliedschaft hat?