Client VPN Verbindung mit Zertifikat

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Client VPN Verbindung mit Zertifikat

Beitrag von firefox_i »

Hallo zusammen,
ich möchte die nächsten Tage einen Einwahl VPN Zugang einrichten.

Im Endausbau sollen dann 3 Geräte via VPN mit dem Router Verbindung aufnehmen können.

Jetzt bin ich an einer Stelle noch etwas unsicher:
Rein intuitiv hätte ich für jedes der Endgeräte ein eignes Zertifikat ausgestellt, um Zertifikate auch zurückziehen zu können.

Und wenn ich das so mache, dann hat jedes Endgeräte Zertifikat auch andere Einträge im DIstinguished Name - zumindest würde ich dem CN den Namen des Clients geben, damit ich die Zertifikate zuordnen kann.

In den Konfigurationsanleitungen ist immer beschrieben, dass im Router die entfernte Identität immer exakt so angegeben werden muss, wie sie im Zertifikat steht....

So und nun hab ich nen Knoten im Kopf:
Muss ich jetzt für jeden Client eine eigene VPN Einwahlverbindung definieren - kann ich mir fast nicht vorstellen.

Oder kann ich das über die "weitere entfernte Identitäten"?

Ich steh etwas auf dem Schlauch.


Oder hab ich hier nen generellen Denkfehler und kann bei der ASN1. Distinguished Name Eingabe auch einfach die Teile im Zertifikat angeben, die für alle Client Zertifikate gleich sind ?

Danke für jeden Hinweis.
S.
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Re: Client VPN Verbindung mit Zertifikat

Beitrag von firefox_i »

Okay, ich hab da wohl im Manual was überlesen....

Es gibt scheinbar einen flexiblen ID Vergleich bei dem man dann im ASN.1 DN Wildcards verwenden kann.

So und jetzt erwischt mich die Doku-Qualität eiskalt:
Im Manual steht folgendes:
Um dies zu ermöglichen, kann ein flexiblerer Identitätsvergleich verwendet werden. Die in den konfigurierten Identitäten enthaltenen Komponenten eines ASN.1-Distinguished Name (DN) (Relative Distinguished Names – RDNs) müssen in den relevanten Subjects dabei nur enthalten sein. Die Reihenfolge der RDNs ist dabei beliebig. Darüber hinaus können die Werte der RDNs die Wildcards "?" und "*" beinhalten. Werden die Wildcards als Teil des RDNs benötigt, müssen sie in Form von "\?" bzw. "\*" angegeben werden. Beispiele:

Subject = '/CN=Max Mustermann/O=*ACME*', DN = '/CN=Max?Muster*'
Subject = '/CN=Max Mustermann/O=*ACME*', DN = '/O=\*ACME\*'
Öhmm....what ?!?!? :G) :G) :G)
Geht es nur mir so oder ist das für einen Anwendwer nur schwer verständlich?
Außerdem sind in meinen Subjects die einzelnen Teile mit Komma und nicht / getrennt....

Wenn meine Subjects in den verschiedenen Zertifikaten zum Beispiel folgende sind:
- CN=ClientA,OU=Firma_Zentrale,O=Firma,C=DE
- CN=ClientB,OU=Firma_Zentrale,O=Firma,C=DE
- CN=ClientC,OU=Firma_Zentrale,O=Firma,C=DE
- CN=ClientD,OU=Firma_Zentrale,O=Firma,C=DE

Es soll alles überprüft werden, nur der Eintrag im CN darf unterschiedlich sein.

Versteh ich es richtig, dass ich dann im Identitätsfeld einfach angebe OU=Firma_Zentrale,O=Firma,C=DE
Und wenn nur der letzte Buchstabe des CN sich unterschieden darf dann eben OU=Firma_Zentrale,O=Firma,C=DE,CN=Client*

So versteh ich zumindest die Beispiele.

S.
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Re: Client VPN Verbindung mit Zertifikat

Beitrag von firefox_i »

Ich antworte mir mal selbst, dann können ggf. andere von der Info profitieren.

Es ist tatsächlich so wie ich vermutet habe.
Man kann mit den Wildcards die Teile angeben, die unterschiedlich sind.
In meinem Fall eben die Clientnamen.

S.
Antworten