Umwandlung .pfx in .p12 Zertifikat ?

Aeroschmelz · Beitrag von **Aeroschmelz** » 17 Okt 2006, 11:32

Hi,

habe mir mit einer Windows 2000 Server Zertifizierungsstelle ein Zertifikat erstellt und dieses dann im pfx Format mit privatem Schlüssel exportiert, in den Router hochgeladen und will es nun mit dem Lancom Advanced VPN Client verwenden, der das Zertifikat aber im .p12 Format haben möchte? Wie funktioniert das ?

Benenne(!) ich das Zertifikat einfach um, scheint er damit nach Eingabe der PIN zunächst zufrieden, allerdings bekomme ich einen Client Error (Verify Server Certificate with error 2107!(Ext 'SSL Server Authentication' failed)

Gruß
Marcus

eddia · Beitrag von **eddia** » 17 Okt 2006, 17:28

Hallo Marcus,

Benenne(!) ich das Zertifikat einfach um, scheint er damit nach Eingabe der PIN zunächst zufrieden, allerdings bekomme ich einen Client Error (Verify Server Certificate with error 2107!(Ext 'SSL Server Authentication' failed)

http://www.lancom-forum.de/ptopic,6796, ... .html#6796

Gruß

Mario

Aeroschmelz · Beitrag von **Aeroschmelz** » 17 Okt 2006, 18:34

d.h. mein Fehler liegt schon darin, daß ich das Zertifikat nicht als Webserver-Zertifikat erstellt habe ? Im Advanced VPN Client wird unter CA Zertifikat nichts angezeigt......

eddia · Beitrag von **eddia** » 17 Okt 2006, 19:33

Hallo Marcus,

d.h. mein Fehler liegt schon darin, daß ich das Zertifikat nicht als Webserver-Zertifikat erstellt habe ?

in diesem Fall ja. Falls ein 'erweiterter Verwendungszweck' im Zertifikat angegeben ist, dann muss dieser für den AVC zwingend mit "SSL-Server" belegt sein. Bei einer Enterprise-CA kannst Du die Nutzung des erweiterten Verwendungszweck nicht ausschliessen - und da nur das Webserverzertifikat diesen Zweck enthält...

Falls Du jedoch eine standelone CA betreibst, gehst Du einfach nach dem Referenzmanual von Lancom vor. Damit wird der erweiterte Verwendungszweck gar nicht definiert.

Im Advanced VPN Client wird unter CA Zertifikat nichts angezeigt.

Hast Du im CACerts-Verzeichnis des AVC die CA-Zertifikate abgelegt? Falls ja, benenne die einfach mal in .pem um.

Gruß

Mario

Aeroschmelz · Beitrag von **Aeroschmelz** » 17 Okt 2006, 19:55

Herzlichen Dank für deine Hilfe, ich bin nun ehrlich gesagt ein wenig verwirrt. Ich habe das Zertifikat nun als Webserver Zertifikat mittels http://localhost/certsrv erstellt und im Windows Server installiert. Danach habe ich das Kombi-Paket im Format pfx in den Router hochgeladen, mit show vpn ca und show vpn cert zeigt er mir dann auch die entsprechenden Infos an. Danach entsprechend der Anleitung den VPN Zugang im Router eingerichtet, nur bei lokaler und entfernter Identität war ich mir nicht so sicher, einfach die mit show vpn ca bzw. show vpn cert unter Subject aufgelisteten Infos eintragen ?
Dieses pfx Zertifikat habe ich nun auf den Client, in diesem Fall ein Notebook, mit Lancom Advanced VPN Client kopiert und umbenannt in p12. Dann die entsprechende Anleitung im Handbuch befolgt, um den VPN Zugang dort einzurichten und das Zertifikat geladen. Beim Verbinden fragt er mich nach der hinterlegten PIN und bestätigt dies auch. MIt dem nun neuen Zertifikat erhalte ich folgendes Log:

Code: Alles auswählen

17.10.2006 19:47:50  IPSDIALCHAN::start building connection
17.10.2006 19:47:51  NCPIKE-phase1:name(WVK Krayer) - outgoing connect request - main mode.
17.10.2006 19:47:51  XMIT_MSG1_MAIN - WVK Krayer
17.10.2006 19:47:51  RECV_MSG2_MAIN - WVK Krayer
17.10.2006 19:47:51  IKE phase I: Setting LifeTime to 28800 seconds
17.10.2006 19:47:51  IPSDIAL->FINAL_TUNNEL_ENDPOINT:212.XXX.XXX.057
17.10.2006 19:47:51  XMIT_MSG3_MAIN - WVK Krayer
17.10.2006 19:47:51  RECV_MSG4_MAIN - WVK Krayer
17.10.2006 19:47:51  XMIT_MSG5_MAIN - WVK Krayer
17.10.2006 19:47:52  XMIT_MSG5_MAIN_RESUME - WVK Krayer
17.10.2006 19:47:52  RECV_MSG6_MAIN - WVK Krayer
17.10.2006 19:47:52  NCPIKE-phase1:name(WVK Krayer) - error - PAYLOAD_MALFORMED
17.10.2006 19:47:52  IPSDIAL  - disconnected from WVK Krayer on channel 1.

Unter Verbindug/Zertifikate/CA-Zertifikate zeigt er mir immer noch nichts an. Ich denke mal in diesem Fall sitzt der größte DAU wieder vor dem Bildschirm ?

eddia · Beitrag von **eddia** » 17 Okt 2006, 20:23

Hallo Marcus,

Danach entsprechend der Anleitung den VPN Zugang im Router eingerichtet, nur bei lokaler und entfernter Identität war ich mir nicht so sicher, einfach die mit show vpn ca bzw. show vpn cert unter Subject aufgelisteten Infos eintragen ?
Dieses pfx Zertifikat habe ich nun auf den Client, in diesem Fall ein Notebook, mit Lancom Advanced VPN Client kopiert und umbenannt in p12.

dir ist doch aber bewusst, dass Du zwei Client-Zertifikate austellen musst? Eines für den Lancom und eines für den AVC. Und beide natürlich mit unterschiedlichen Identitäten. Die Identität muss sich auf das Clientzertifikat beziehen - die CA hat dort nichts zu suchen. Im Lancom muss bei der Remote-Identität der CN des AVC-Zertifikates eingetragen werden und bei der lokalen Identität der CN des Lancom-Zertifikates.

Unter Verbindug/Zertifikate/CA-Zertifikate zeigt er mir immer noch nichts an.

Du hast meine Frage nach den Zertifikaten im CaCerts-Verzeichnis des AVC nicht beantwortet.

Gruß

Mario

Aeroschmelz · Beitrag von **Aeroschmelz** » 18 Okt 2006, 09:05

Oh man, das war mir nicht ganz bewußt....

Ok jetzt habe ich ein zweites Webserver-Zertifikat erstellt und nach Umbennen in p12 im Verzeichnis des AVC hinterlegt (wo die User Zertifikate liegen). Das erste ausgestellt und in den Lancom hochgeladene Zertifikat habe ich in das CaCerts Verzeichnis des AVC kopiert und als er immer noch nichts angezeigt hat entsprechend in die angegebenen Endung pem umbenannt, hier leider immer noch nichts.
Muß man bei den Identitäten die gesamten im Zertifikat hinterlegten Infos angeben, also z.B wie bei mir?

Code: Alles auswählen

CN=Name,O=Firma,L=Ort,ST=Bundesland,C=DE,emailAddress=nix@nohope.com

oder genügt auch nur ein Ausschnitt wie z.B. der Name (werde das gleich aber einfach mal testen)
Mit der so geschilderten Vorgehensweise bekomme ich jetzt ein IKE-Fehler (Phase 1) mit folgendem Log:

Code: Alles auswählen

18.10.2006 09:10:34  NCPIKE-phase1:name(WVK Krayer) - outgoing connect request - main mode.
18.10.2006 09:10:34  XMIT_MSG1_MAIN - WVK Krayer
18.10.2006 09:10:34  RECV_MSG2_MAIN - WVK Krayer
18.10.2006 09:10:34  IKE phase I: Setting LifeTime to 28800 seconds
18.10.2006 09:10:34  XMIT_MSG3_MAIN - WVK Krayer
18.10.2006 09:10:34  IPSDIAL->FINAL_TUNNEL_ENDPOINT:212.XXX.XXX.057
18.10.2006 09:10:34  RECV_MSG4_MAIN - WVK Krayer
18.10.2006 09:10:34  XMIT_MSG5_MAIN - WVK Krayer
18.10.2006 09:10:34  XMIT_MSG5_MAIN_RESUME - WVK Krayer
18.10.2006 09:10:35  RECV_MSG6_MAIN - WVK Krayer
18.10.2006 09:10:35  RECV_MSG6_MAIN_RESUME - WVK Krayer
18.10.2006 09:10:35  Turning on DPD mode - WVK Krayer
18.10.2006 09:10:35  NCPIKE-phase1:name(WVK Krayer) - connected
18.10.2006 09:10:35  Phase1 is Ready: IkeIndex = 00000006
18.10.2006 09:10:35  Quick Mode is Ready: IkeIndex = 00000006 , VpnSrcPort = 500
18.10.2006 09:10:35  Assigned IP Address: 192.168.200.232
18.10.2006 09:10:35  XMIT_MSG1_QUICK - WVK Krayer
18.10.2006 09:10:35  NOTIFY : WVK Krayer : RECEIVED : NO_PROPOSAL_CHOSEN
18.10.2006 09:10:40  NOTIFY : WVK Krayer : RECEIVED : NO_PROPOSAL_CHOSEN
18.10.2006 09:10:43  NOTIFY : WVK Krayer : RECEIVED : NO_PROPOSAL_CHOSEN
18.10.2006 09:10:46  NOTIFY : WVK Krayer : RECEIVED : NO_PROPOSAL_CHOSEN
18.10.2006 09:10:49  NCPIKE-phase2:name(WVK Krayer) - error - retry timeout - max retries
18.10.2006 09:10:49  IPSDIAL  - disconnected from WVK Krayer on channel 1.

P.S. Ohne Zertifikate funktioniert der VPN Zugang, also ist der Hopf und Malz bei mir noch nicht ganz verloren

Aeroschmelz · Beitrag von **Aeroschmelz** » 18 Okt 2006, 09:16

P.S. Im Handbuch steht zu den Identitäten das sämtliche Infos übernommen werden sollen, also hat sich das schon erledigt.

Am Router:

Code: Alles auswählen

[VPN-Status] 2006/10/18 09:29:12,590
IKE info: Phase-2 failed for peer def-main-peer: no rule matches the phase-2 ids  192.168.200.232 <->  0.0.0.0/0.0.0.0
IKE log: 092912 Default message_negotiate_sa: no compatible proposal found

Im übrigen handelt es sich um einen Lancom 1722 VoIP mit Firmware 6.24 und dieser Eintrag war schon vorgenommen (LCOS >3.00)

http://www2.lancom.de/kb.nsf/a5ddf48173 ... sal,German

Hier die Einträge:

Das Zertifikat hat eine Schlüsselänge von 2048 bit !

backslash · Beitrag von **backslash** » 18 Okt 2006, 14:53

Hi Aeroschmelz

Trage im Client unter "VPN IP-Netze" noch das zu erreichende Netz (also das LAN des 1722) ein und du bist fertig.

Gruß
Backslash

Aeroschmelz · Beitrag von **Aeroschmelz** » 18 Okt 2006, 15:45

d.h. einfach 192.168.200.0 mit entsprechender Netmask Eingabe ? Das habe ich nämlich auch schon probiert und ändert leider nichts am Log

eddia · Beitrag von **eddia** » 18 Okt 2006, 18:47

Hallo Marcus,

Muß man bei den Identitäten die gesamten im Zertifikat hinterlegten Infos angeben, also z.B wie bei mir?

ja, musst Du - und das natürlich für beide Identitätsangaben (remote und local) im Lancom.

Das mit den CA-Zertifikaten im CACerts Verzeichnis kannst Du ignorieren, falls Du beim Export des Zertifikates in eine p12/pfx-Datei die Option 'alle Zertifikate im Zertifizierungspfad einbeziehen' ausgewählt hast.

d.h. einfach 192.168.200.0 mit entsprechender Netmask Eingabe ? Das habe ich nämlich auch schon probiert und ändert leider nichts am Log

Natürlich muss sich da was ändern, wenn Du diesen Fehler korrigiert hast.

Gruß

Mario

Aeroschmelz · Beitrag von **Aeroschmelz** » 18 Okt 2006, 20:01

Ich hätte das ja auch lieber, aber ich habe die Einstellung vorgenommen und es ändert leider wirklich nichts am Log.

Hier der Eintrag, habe schon verschiedene versucht:

Hier das trace vom Router:

Code: Alles auswählen

[VPN-Status] 2006/10/18 20:18:39,850
IKE info: Phase-2 failed for peer def-main-peer: no rule matches the phase-2 ids  192.168.200.232 <->  192.168.200.17/255.255.255.0
IKE log: 201839 Default message_negotiate_sa: no compatible proposal found
IKE log: 201839 Default dropped message from 82.207.238.254 port -4360 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer def-main-peer 82.207.238.254 port -4360 due to notification type NO_PROPOSAL_CHOSEN

Hier eines der Logs vom AVC

Code: Alles auswählen

18.10.2006 20:29:39  NCPIKE-phase1:name(WVK Krayer) - outgoing connect request - main mode.
18.10.2006 20:29:39  XMIT_MSG1_MAIN - WVK Krayer
18.10.2006 20:29:39  RECV_MSG2_MAIN - WVK Krayer
18.10.2006 20:29:39  IKE phase I: Setting LifeTime to 28800 seconds
18.10.2006 20:29:39  XMIT_MSG3_MAIN - WVK Krayer
18.10.2006 20:29:39  IPSDIAL->FINAL_TUNNEL_ENDPOINT:212.XXX.XXX.057
18.10.2006 20:29:39  RECV_MSG4_MAIN - WVK Krayer
18.10.2006 20:29:40  XMIT_MSG5_MAIN - WVK Krayer
18.10.2006 20:29:40  XMIT_MSG5_MAIN_RESUME - WVK Krayer
18.10.2006 20:29:41  RECV_MSG6_MAIN - WVK Krayer
18.10.2006 20:29:41  RECV_MSG6_MAIN_RESUME - WVK Krayer
18.10.2006 20:29:41  Turning on DPD mode - WVK Krayer
18.10.2006 20:29:41  NCPIKE-phase1:name(WVK Krayer) - connected
18.10.2006 20:29:41  Phase1 is Ready: IkeIndex = 00000012
18.10.2006 20:29:41  Quick Mode is Ready: IkeIndex = 00000012 , VpnSrcPort = 500
18.10.2006 20:29:41  Assigned IP Address: 192.168.200.232
18.10.2006 20:29:41  XMIT_MSG1_QUICK - WVK Krayer
18.10.2006 20:29:41  NOTIFY : WVK Krayer : RECEIVED : NO_PROPOSAL_CHOSEN
18.10.2006 20:29:45  NOTIFY : WVK Krayer : RECEIVED : NO_PROPOSAL_CHOSEN
18.10.2006 20:29:48  NOTIFY : WVK Krayer : RECEIVED : NO_PROPOSAL_CHOSEN
18.10.2006 20:29:51  NOTIFY : WVK Krayer : RECEIVED : NO_PROPOSAL_CHOSEN
18.10.2006 20:29:54  NCPIKE-phase2:name(WVK Krayer) - error - retry timeout - max retries
18.10.2006 20:29:54  IPSDIAL  - disconnected from WVK Krayer on channel 1.

Beim Export habe ich diese Option im übrigen entsprechend der Anleitung im Handbuch vorgenommen, so daß das dann ok sein sollte.

eddia · Beitrag von **eddia** » 18 Okt 2006, 21:02

Hallo Marcus,

Hier der Eintrag, habe schon verschiedene versucht:

nimm's mir nicht übel - aber Du solltest selbst am besten wissen, welches Netz am Lancom von Deinem AVC aus erreichbar ist.

IKE info: Phase-2 failed for peer def-main-peer: no rule matches the phase-2 ids 192.168.200.232 <-> 192.168.200.17/255.255.255.0

Sieh doch einfach mal in der Firewall/VPN-Regel nach. Da sollte Dein Netz 192.168.200.17.0/24 drinstehen und nicht irgendeine IP .17 aus diesem Netz.

Gruß

Mario

Aeroschmelz · Beitrag von **Aeroschmelz** » 18 Okt 2006, 21:25

Hallo Mario,

ich weiß schon in welchem Netz sich mein Lancom befindet (192.168.200.XXX) und habe den Eintrag auch entsprechend im AVC hinterlegt (siehe Screenshot), da das aber nicht funktioniert hat, habe ich es halt mal mit der IP des Routers versucht (192.168.200.17) und beim kopieren aus dem Telnet-Log habe ich wohl den falschen Eintrag erwischt, aber hier noch einmal ein neuer Eintrag:

Code: Alles auswählen


[VPN-Status] 2006/10/18 21:19:52,270
IKE info: Phase-2 failed for peer def-main-peer: no rule matches the phase-2 ids  192.168.200.232 <->  192.168.200.0/255.255.255.0
IKE log: 211952 Default message_negotiate_sa: no compatible proposal found
IKE log: 211952 Default dropped message from 82.207.238.254 port -4269 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer def-main-peer 82.207.238.254 port -4269 due to notification type NO_PROPOSAL_CHOSEN

das macht wie man sieht leider keinen Unterschied.

Der VPN Zugang ohne Zertifikat im Aggressive Mode funktioniert auch ohne diesen Eintrag.

eddia · Beitrag von **eddia** » 19 Okt 2006, 18:42

Hallo Marcus,

IKE info: Phase-2 failed for peer def-main-peer: no rule matches the phase-2 ids 192.168.200.232 <-> 192.168.200.0/255.255.255.0

Du benutzt offenbar kein IKE-Config. Dann stimmt wahrscheinlich die im VPN-Client manuell angegebene IP nicht mit der für diese VPN-Verbindung in der Routingtabelle des Lancoms hinterlegten IP überein.

Gruß

Mario