Zertifikaterstellung mit extended key usage nicht möglich aber notwendig für IPSec Verbindun

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

Zertifikaterstellung mit extended key usage nicht möglich aber notwendig für IPSec Verbindun

Beitrag von b.junghans »

Hi zusammen,
laut fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86774 ist es erforderlich, bei der Zertifikatserstellung für die VPN Verbindung drauf zu achten, dass das Zertifikat folgende Attribute enthält:

Code: Alles auswählen

X509v3 extensions:
       X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication
Über den Wizard sehe ich keine Möglichkeit dies zu beeinflussen, also habe ich den URL Direkt Aufruf zur Zertifikaterstellung benutzt.
Folgende URLs habe ich benutzt

Code: Alles auswählen

<routerip>/scepwiz/a=vpn&b=<FIRMENNAME>&c=Router&n=serverAuth,clientAuth&o=4096&p=3650&q=<PW>
<routerip>/scepwiz/a=vpn&b=<FIRMENNAME>&c=Router&n=1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2&o=4096&p=3650&q=<PW>
Wennich das erzeugte Zertifikat in den Router spiele und mir an der Konsole mit "show vpn cert" die Zertifikate mit Eigenschaften anzeigen lasse bekomme ich nur:

Code: Alles auswählen


                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Subject Key Identifier:
                xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
            X509v3 Authority Key Identifier:
                keyid:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
                DirName:/C=DE/O=LANCOM SYSTEMS/CN=LANCOM CA
                serial:57:AC:EA

Es sind also keine extended key usage attribute enthalten.

Jemand ne Idee?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Zertifikaterstellung mit extended key usage nicht möglich aber notwendig für IPSec Verbindun

Beitrag von GrandDixence »

Bootfähiger USB-Memorystick mit einem Live-Linux erstellen. Von diesem USB-Memorystick booten und mit OpenSSL die Zertifikate erstellen:

https://de.opensuse.org/SDB:Live_USB_Stick

fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86774

Thema "vertrauenswürdiger Zufallszahlengenerator" im Hinterkopf behalten (siehe Link). Anleitungen für OpenSSL sind oben verlinkt.

Für eine veraltete OpenSSL-Anleitung siehe:
aktuelle-lancom-router-serie-f41/lcos-v ... tml#p88374
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

Re: Zertifikaterstellung mit extended key usage nicht möglich aber notwendig für IPSec Verbindun

Beitrag von b.junghans »

GrandDixence hat geschrieben: 21 Feb 2020, 11:04 Bootfähiger USB-Memorystick mit einem Live-Linux erstellen. Von diesem USB-Memorystick booten und mit OpenSSL die Zertifikate erstellen:

https://de.opensuse.org/SDB:Live_USB_Stick

fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86774

Thema "vertrauenswürdiger Zufallszahlengenerator" im Hinterkopf behalten (siehe Link). Anleitungen für OpenSSL sind oben verlinkt.

Für eine veraltete OpenSSL-Anleitung siehe:
aktuelle-lancom-router-serie-f41/lcos-v ... tml#p88374
Habe mir die openSSL Win Version gezogen und damit zumindest shocn mal das Routerzertifikat mit beiden extended key usage Werten hinbekommen.

Braucht das Clientzertifikat auch beide oder reicht dort extended key usage=clientAuth ?
Antworten