Kann kein neues CA Zertifikat bauen

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
beki
Moderator
Moderator
Beiträge: 109
Registriert: 16 Jan 2017, 13:09
Wohnort: DKB/BY/DE

Kann kein neues CA Zertifikat bauen

Beitrag von beki »

Hallo zusammen,

ändere ich einen de Werte "/Setup/Certificates/SCEP-CA/CA-certificates" oder "/Setup/Certificates/SCEP-CA/CA-certificates" in "/Setup/Certificates/SCEP-CA/CA-certificates", dann geht die SCEP-CA in einen Fehlerzustand, wenn ich das korrekt verstehe.

Ist es aber genau mein Anliegen, ein neues CA-Zertifikat zu erstellen, diese Werte also ändere, und dann sage "do /Setup/Certificates/SCEP-CA/CA-certificates/Create-new-CA-certificates -f", dann ist die Antwort:

Code: Alles auswählen

06/25/2018 15:52:24 schlimmchen on torvalds in /Setup/Certificates/SCEP-CA/CA-certificates
> do Create-new-CA-certificates -f                                                
The CA is not running.

Not practicable
Das ist recht ungeschickt?! Ich versuche jetzt als nächstes, ein neues CA zu erzwingen, indem ich die entsprechende Datei aus dem Flash des LC lösche. Aber ich hätte erwartet, dass die Aktion "Create new CA" genau für diesen Zweck benutzt werden kann... Was ist sonst der bevorzugte Weg?

Gruß
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Kann kein neues CA Zertifikat bauen

Beitrag von GrandDixence »

X.509-Zertifikate erstellt man auf einem PC mit möglichst viel Open Source-Software und einem möglichst zuverlässigen und vertrauenswürdigen Hardware-Zufallsgenerator (zum Beispiel: Intel RdRand). Erstellt ein Backup der Zertifikate (auf dem PC) und importiert diese anschliessend auf den LANCOM-Router. Siehe auch:

https://en.wikipedia.org/wiki/RdRand

http://winfuture.de/news,79276.html

https://de.wikipedia.org/wiki/X.509

fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86774

und die Empfehlungen aus BSI TR-02102-2 Kapitel 4.3 und BSI TR-02102-1 Kapitel 9:
https://www.bsi.bund.de/DE/Publikatione ... x_htm.html
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: Kann kein neues CA Zertifikat bauen

Beitrag von cpuprofi »

Hallo Beki,

ich habe das gleiche Vorgehen über das Webinterface gemacht und auch da laufe ich in den von Dir schon genannten Fehler.

Ich denke das ist ein Bug im LCOS...

Wobei nach einem Neustart des Lancom's geht es wieder. :G)

Grüße
Cpuprofi
Antworten