eine Anregung für den AVC: Bei verwendung eines eToken und somit PKCS#11-Moduls nicht (wie gegenwärtig) die Einstellung eines Zertifikats für alle Profile im Menü "konfiguration->Zertifikate", sondern die Auswahl des konkreten Zertifikats im jeweiligen Profil festlegen lassen.
Hintergrund:
Zugang zu mehreren Lancom VPN-Gateways bei unterschiedlichen Kunden mit jeweils eigener PKI. Alle Zugangszertifikate und -schlüssel sind aus Sicherheitsgründen auf einem eToken gespeichert. Bedeutet: Für jeden Zugang ein anderes Zertifikat, und es wird die Einstellung "PKCS#11-Modul" im AVC verwendet. Um absichtliche oder unabsichtliche Veränderungen zu vermeiden, sind Konfigurationssperren gesetzt.
Die Nummer des gerade auf dem eToken verwendeten Zertifikats muss nun jedes Mal, wenn ein anderer Zugang geöffnet werden soll, umständlich manuell durch Menühangeln geändert werden. Das wird zusätzlich erschwert, wenn aus Sicherheitsgründen eine entsprechende Konfigurationssperre aktiviert ist, die vorher noch deaktiviert werden muss. => Nervt.
Viel sinnvoller wäre es doch, die Entscheidung für Profile konsequent umzusetzen und in jedem Profil auch das jeweils damit verwendete Zertifikat angeben zu können. Folge: Jeweils nur einmal im Profil einstellen, danach sind keinerlei manuellen Eingriffe mehr nötig. Konfigurationssperren könnten ohne Einschränkung gesetzt werden. Einstellungen müssten nicht mehr angetastet werden.
Grüße
T.
