Anleitung für die VPN-Zertifikat-Methode gesucht

hornigunn · Beitrag von **hornigunn** » 23 Nov 2007, 19:50

Hallo,

ich bin absoluter NEWBIE und habe mich heute mit der Zertifikat-VPN-Methode befaßt, komme aber nur zu Teilergebnissen:

1.)

Wenn ich es richtig verstanden habe, muß sowohl am Lancom Router als auch im ADV Client ein Zertifikat installiert werden. Die Installation eines Zertifikates direkt am Clienten-Betriebssystem ist dann also überflüssig? Benötigt man im ADV Client unbedingt noch zusätzlich ein "CA Zertifikat" und was ist das eigentlich?

2.)

Der ADV Client zeigt mir einen "PKI Fehler-Dateiformat wird nicht unterstützt" an, wenn ich die Verbindung aufbaue. Kann man also die PFX nicht auch als P12 verwenden oder läßt sie sich nach P12 konvertieren?

Gibt es irgendwo neben dem Referenzmanual noch eine STEP-by-STEP-Anleitung insbesondere für die Erstellung von P12-Zertifikaten für dieses umfangreiche wichtige Thema?

Danke!!

Gruß

TheCloud · Beitrag von **TheCloud** » 23 Nov 2007, 22:15

Hallo hornigunn,

Wenn ich es richtig verstanden habe, muß sowohl am Lancom Router als auch im ADV Client ein Zertifikat installiert werden.

Ins LANCOM und in den AVC lädst Du einen PKCS12 Container. Dieser Container beinhaltet jeweils das Root- und Gerätezertifikat und den privaten Schlüssel.

Die Installation eines Zertifikates direkt am Clienten-Betriebssystem ist dann also überflüssig?

Ja, das ist richtig! Es reicht, den PKCS12 Container in den AVC einzubinden.

Der ADV Client zeigt mir einen "PKI Fehler-Dateiformat wird nicht unterstützt" an, wenn ich die Verbindung aufbaue. Kann man also die PFX nicht auch als P12 verwenden oder läßt sie sich nach P12 konvertieren?

Du kannst den PFX Container einfach in *.p12 umbenennen. Dann meldet der AVC auch keinen Dateiformatsfehler mehr.

Gibt es irgendwo neben dem Referenzmanual noch eine STEP-by-STEP-Anleitung insbesondere für die Erstellung von P12-Zertifikaten für dieses umfangreiche wichtige Thema?

Mit welchem Tool möchtest Du denn die die Zertifikate erstellen? Da gibt es die verschiedensten Möglichkeiten. Dementsprechend wäre eine Step by Step Anleitung auch immer anders.
Im Reference-Manual ist ja z.B. die Zertifikatserstellung anhand eines Windows 2003 Servers erklärt.

Gruß

TC

hornigunn · Beitrag von **hornigunn** » 24 Nov 2007, 10:21

Hallo TheCloud,

vielen Dank für Deine Hinweise

Kann denn am Lancomrouter und im ADV Client auch ein und dasselbe Zertifikat installiert werden, so daß also zB. /CN=... in allen Fällen gleich ist? Irgendwo hier im Forum hatte ich mal gelesen, daß es sich um zwei verschiedene Zertifikate handeln muß?

Okay, wenn ich ein P12-Zertifikat in den ADV Client einspiele und die PIN eingebe, dann sehe ich einen grünen Haken als Bestätigung, d.h. das Zertifikat ist dann wohl aktiv? Aber ich sehe unter "Verbindung" kein CA-Zertifikat und auch die anderen möglichen Zertikate (Aussteller-, Benutzerzertifikat, eingehendes Zertifikat) sind gegraut. Ist das richtig? Kann ich denn nur 1 Zertifikat in den ADV Client zur Zeit aktivieren? Braucht man unbedingt ein CA-Zertifikat, und wenn ja, wie kann man dieses erstellen?

Ich kann das im Lancom hochgeladene Zertifikat auch wieder exportieren, ich habe nämlich jetzt die neueste Lancom-Firmware installiert. Wenn ich allerdings das aus Lanconfig exportierte Zertikationsfile probeweise an einem PC installieren möchte, kommt die Fehlermeldung "Ungültige Öffentlicher Schlüssel-Sicherheitsobjektdatei-Diese Datei ist für folgende Verwendung ungültig-Informationsaustausch". Nehme ich zum Export allerdings den Lanconfig-Webbrowser, dann kann ich das Zertifikatfile sehr wohl installieren-irgendwie finde ich das merkwürdig. Und in der Telnetsitzung wird mir unter "show vpn cert" angezeigt: "no such file".

Ich hatte nach Anleitung des Referenzmanual im ADV Client alle Felder bei "Zertifikatsüberprüfung" und auch die ID der Lokale Identität bei "Identität" im ADV Client freigelassen. Eine VPN-Verbindung (die Verbindung habe ich "ZERT" für "Zertifikat" genannt) kommt aber leider nicht zustande, hier das Log:

24.11.2007 11:10:32 Protecting RAS adapter - 0
24.11.2007 11:10:34 IPSDIALCHAN::start building connection
24.11.2007 11:10:34 IPSDIAL::DNSREQ: resolving dnserver over lan: test.dyndns.org
24.11.2007 11:10:34 IPSDIAL->DNSREQ: resolved ipadr: 084.137.111.23
24.11.2007 11:10:34 NCPIKE-phase1:name(zert) - outgoing connect request - main mode.
24.11.2007 11:10:34 XMIT_MSG1_MAIN - zert
24.11.2007 11:10:34 RECV_MSG2_MAIN - zert
24.11.2007 11:10:34 IKE phase I: Setting LifeTime to 28800 seconds
24.11.2007 11:10:34 XMIT_MSG3_MAIN - zert
24.11.2007 11:10:34 IPSDIAL->FINAL_TUNNEL_ENDPOINT:084.137.111.23
24.11.2007 11:11:14 IPSDIAL - disconnected from zert on channel 1.

Für sachdienliche Hinweise, die zur Aufklärung des Falles beitragen, vielen Dank!!

Gruß

TheCloud · Beitrag von **TheCloud** » 24 Nov 2007, 18:35

Hallo hornigunn,

Kann denn am Lancomrouter und im ADV Client auch ein und dasselbe Zertifikat installiert werden

Nein, die Vorgeheinsweise beim Erstellen der zertifikate ist zwar identisch, aber die Angaben im Zertifikat müssen anders sein. Anhand dieser Angaben wird die Gegenstelle ja identifiziert und da wäre es suboptimal, wenn beide Zertifikate völlig identisch wären

Wenn das Zertifikat richtig erstellt wurde, dann müsstest Du nachher im Advanced Client unter "Verbindung->Zertifikate" das Aussteller- und Benutzer-Zertifikat sehen können.

Kann ich denn nur 1 Zertifikat in den ADV Client zur Zeit aktivieren?

Nein, Du kannst mehrere zertifikate in einem Verzeichnis hinterlegen. Unter "Konfiguration->Zertifikate" dieses Verzeichnis angeben und den Punkt "Softzertifikatauswahl akivieren" auswählen. Anschliessend kannst Du in der Hauptmaske des AVC das entsprechende Zertifikat via Drop-Down auswählen.

Da Du aber schon im AVC die Zertifikatsdetails nicht siehst, scheinen Die von Dir erstellten Zertifikate nicht richtig zu sein...

Sind denn im LANCOM die richtigen Zertifkatsdateien hinterlegt? Das sieht man im Telnet unter "/Status/File-System/Contents"?

Gruß

TC

hornigunn · Beitrag von **hornigunn** » 24 Nov 2007, 20:07

Hallo TheCloud,

Deine Hinweise haben mir schon weitergeholfen, danke

Also jetzt kann ich das Benutzer- und Ausstellungszertifikat im Lancom sehen.

Aber das CA-Zertifikat ist nicht unbedingt zusätzlich nötig, oder?

Du schreibst, dasgleiche Zertifikat an Router+Client wäre suboptimal. Ist es denn technisch mit VPN also mit ein- und demselben Zertifikat auch gar nicht durchführbar? Kann oder muß denn die ausstellende Zertifizierungsstelle für beide Zertifikate diesselbe sein? Aber auch wenn ich zwei verschiedene Benutzer-Zertifikate am ADV Client und am Router installiere, kommt nach wie vor die obige Fehlermeldung im LOG. Bei den Zertifikaten habe ich jeweils zunächst einmal im Zertifikat nur einen Namen erteilt, keine weiteren Angaben zu Firma, Ort etc.

Im Lancomrouter sehe ich im Telnet die Dateien

oemdata
vpn_pkcs12
issue
rand_seed

Ist das so richtig?

Danke

Gruß

TheCloud · Beitrag von **TheCloud** » 24 Nov 2007, 22:09

Hallo hornigunn,

Ist es denn technisch mit VPN also mit ein- und demselben Zertifikat auch gar nicht durchführbar?

Meines Wissens nach ist das mit einem Zertifikat nicht zu schaffen. Du musst für jeden Standort ein eigenes Zertifikat erstellen.

Kann oder muß denn die ausstellende Zertifizierungsstelle für beide Zertifikate diesselbe sein?

Sagen wir mal so: Das LANCOM muss den Client identifizieren können. Dies geschiet über das Root Zertifikat. Da das LANCOM z.Zt nur eine Zertifizierungstelle verwalten kann, müssen beide Zertifikate von dieser Zertifizierungsstelle ausgestellt worden sein.

Irgendetwas scheint abermit Deiner PKCS12 Datei nicht zu stimmen, denn im LANCOM müsste der Inhalt des Containers auftauchen:
vpn_rootcert
vpn_devcert
vpn_devprivkey
vpn_pkcs12

Gruß

TC

hornigunn · Beitrag von **hornigunn** » 24 Nov 2007, 22:57

Hallo TheCloud,

vielen Dank für Deinen Tipp der VPN-Dateien im Lancom-Router! Es lag an der Passphrase, die ich vorher übergangen hatte. Wenn man hier gar nichts eingibt, kommt nämlich trotzdem die Meldung, daß das File hochgeladen ist und damit war der Fall für mich dann erledigt

Jetzt habe ich endlich die VPN-Files im Lancom, super!

Und was das Beste ist: Die VPN-Verbindung klappt endlich.

Wenn ich die Lancom-Konfiguration sichere, werden dann eigentlich die Zertifikate mitgesichert?

Gruß,

TheCloud · Beitrag von **TheCloud** » 25 Nov 2007, 21:40

Hi hornigunn,

schön das die VPN-Verbindung bei Dir jetzt klappt!

Die Zertifikate sind aber nicht Bestandteil der Konfiguration und sind somit auch nicht in der *.lcf Datei von LANconfig enthalten.
Desweiteren gehen Sie bei einem Gerätereset verloren und müssen dann neu eingespielt werden.

Gruß

TC