Anleitung für die VPN-Zertifikat-Methode gesucht
Moderator: Lancom-Systems Moderatoren
Anleitung für die VPN-Zertifikat-Methode gesucht
Hallo,
ich bin absoluter NEWBIE und habe mich heute mit der Zertifikat-VPN-Methode befaßt, komme aber nur zu Teilergebnissen:
1.)
Wenn ich es richtig verstanden habe, muß sowohl am Lancom Router als auch im ADV Client ein Zertifikat installiert werden. Die Installation eines Zertifikates direkt am Clienten-Betriebssystem ist dann also überflüssig? Benötigt man im ADV Client unbedingt noch zusätzlich ein "CA Zertifikat" und was ist das eigentlich?
2.)
Der ADV Client zeigt mir einen "PKI Fehler-Dateiformat wird nicht unterstützt" an, wenn ich die Verbindung aufbaue. Kann man also die PFX nicht auch als P12 verwenden oder läßt sie sich nach P12 konvertieren?
Gibt es irgendwo neben dem Referenzmanual noch eine STEP-by-STEP-Anleitung insbesondere für die Erstellung von P12-Zertifikaten für dieses umfangreiche wichtige Thema?
Danke!!
Gruß
ich bin absoluter NEWBIE und habe mich heute mit der Zertifikat-VPN-Methode befaßt, komme aber nur zu Teilergebnissen:
1.)
Wenn ich es richtig verstanden habe, muß sowohl am Lancom Router als auch im ADV Client ein Zertifikat installiert werden. Die Installation eines Zertifikates direkt am Clienten-Betriebssystem ist dann also überflüssig? Benötigt man im ADV Client unbedingt noch zusätzlich ein "CA Zertifikat" und was ist das eigentlich?
2.)
Der ADV Client zeigt mir einen "PKI Fehler-Dateiformat wird nicht unterstützt" an, wenn ich die Verbindung aufbaue. Kann man also die PFX nicht auch als P12 verwenden oder läßt sie sich nach P12 konvertieren?
Gibt es irgendwo neben dem Referenzmanual noch eine STEP-by-STEP-Anleitung insbesondere für die Erstellung von P12-Zertifikaten für dieses umfangreiche wichtige Thema?
Danke!!
Gruß
Hallo hornigunn,
Im Reference-Manual ist ja z.B. die Zertifikatserstellung anhand eines Windows 2003 Servers erklärt.
Gruß
TC
Ins LANCOM und in den AVC lädst Du einen PKCS12 Container. Dieser Container beinhaltet jeweils das Root- und Gerätezertifikat und den privaten Schlüssel.Wenn ich es richtig verstanden habe, muß sowohl am Lancom Router als auch im ADV Client ein Zertifikat installiert werden.
Ja, das ist richtig! Es reicht, den PKCS12 Container in den AVC einzubinden.Die Installation eines Zertifikates direkt am Clienten-Betriebssystem ist dann also überflüssig?
Du kannst den PFX Container einfach in *.p12 umbenennen. Dann meldet der AVC auch keinen Dateiformatsfehler mehr.Der ADV Client zeigt mir einen "PKI Fehler-Dateiformat wird nicht unterstützt" an, wenn ich die Verbindung aufbaue. Kann man also die PFX nicht auch als P12 verwenden oder läßt sie sich nach P12 konvertieren?
Mit welchem Tool möchtest Du denn die die Zertifikate erstellen? Da gibt es die verschiedensten Möglichkeiten. Dementsprechend wäre eine Step by Step Anleitung auch immer anders.Gibt es irgendwo neben dem Referenzmanual noch eine STEP-by-STEP-Anleitung insbesondere für die Erstellung von P12-Zertifikaten für dieses umfangreiche wichtige Thema?
Im Reference-Manual ist ja z.B. die Zertifikatserstellung anhand eines Windows 2003 Servers erklärt.
Gruß
TC
Hallo TheCloud,
vielen Dank für Deine Hinweise
Kann denn am Lancomrouter und im ADV Client auch ein und dasselbe Zertifikat installiert werden, so daß also zB. /CN=... in allen Fällen gleich ist? Irgendwo hier im Forum hatte ich mal gelesen, daß es sich um zwei verschiedene Zertifikate handeln muß?
Okay, wenn ich ein P12-Zertifikat in den ADV Client einspiele und die PIN eingebe, dann sehe ich einen grünen Haken als Bestätigung, d.h. das Zertifikat ist dann wohl aktiv? Aber ich sehe unter "Verbindung" kein CA-Zertifikat und auch die anderen möglichen Zertikate (Aussteller-, Benutzerzertifikat, eingehendes Zertifikat) sind gegraut. Ist das richtig? Kann ich denn nur 1 Zertifikat in den ADV Client zur Zeit aktivieren? Braucht man unbedingt ein CA-Zertifikat, und wenn ja, wie kann man dieses erstellen?
Ich kann das im Lancom hochgeladene Zertifikat auch wieder exportieren, ich habe nämlich jetzt die neueste Lancom-Firmware installiert. Wenn ich allerdings das aus Lanconfig exportierte Zertikationsfile probeweise an einem PC installieren möchte, kommt die Fehlermeldung "Ungültige Öffentlicher Schlüssel-Sicherheitsobjektdatei-Diese Datei ist für folgende Verwendung ungültig-Informationsaustausch". Nehme ich zum Export allerdings den Lanconfig-Webbrowser, dann kann ich das Zertifikatfile sehr wohl installieren-irgendwie finde ich das merkwürdig. Und in der Telnetsitzung wird mir unter "show vpn cert" angezeigt: "no such file".
Ich hatte nach Anleitung des Referenzmanual im ADV Client alle Felder bei "Zertifikatsüberprüfung" und auch die ID der Lokale Identität bei "Identität" im ADV Client freigelassen. Eine VPN-Verbindung (die Verbindung habe ich "ZERT" für "Zertifikat" genannt) kommt aber leider nicht zustande, hier das Log:
24.11.2007 11:10:32 Protecting RAS adapter - 0
24.11.2007 11:10:34 IPSDIALCHAN::start building connection
24.11.2007 11:10:34 IPSDIAL::DNSREQ: resolving dnserver over lan: test.dyndns.org
24.11.2007 11:10:34 IPSDIAL->DNSREQ: resolved ipadr: 084.137.111.23
24.11.2007 11:10:34 NCPIKE-phase1:name(zert) - outgoing connect request - main mode.
24.11.2007 11:10:34 XMIT_MSG1_MAIN - zert
24.11.2007 11:10:34 RECV_MSG2_MAIN - zert
24.11.2007 11:10:34 IKE phase I: Setting LifeTime to 28800 seconds
24.11.2007 11:10:34 XMIT_MSG3_MAIN - zert
24.11.2007 11:10:34 IPSDIAL->FINAL_TUNNEL_ENDPOINT:084.137.111.23
24.11.2007 11:11:14 IPSDIAL - disconnected from zert on channel 1.
Für sachdienliche Hinweise, die zur Aufklärung des Falles beitragen, vielen Dank!!
Gruß
vielen Dank für Deine Hinweise
Kann denn am Lancomrouter und im ADV Client auch ein und dasselbe Zertifikat installiert werden, so daß also zB. /CN=... in allen Fällen gleich ist? Irgendwo hier im Forum hatte ich mal gelesen, daß es sich um zwei verschiedene Zertifikate handeln muß?
Okay, wenn ich ein P12-Zertifikat in den ADV Client einspiele und die PIN eingebe, dann sehe ich einen grünen Haken als Bestätigung, d.h. das Zertifikat ist dann wohl aktiv? Aber ich sehe unter "Verbindung" kein CA-Zertifikat und auch die anderen möglichen Zertikate (Aussteller-, Benutzerzertifikat, eingehendes Zertifikat) sind gegraut. Ist das richtig? Kann ich denn nur 1 Zertifikat in den ADV Client zur Zeit aktivieren? Braucht man unbedingt ein CA-Zertifikat, und wenn ja, wie kann man dieses erstellen?
Ich kann das im Lancom hochgeladene Zertifikat auch wieder exportieren, ich habe nämlich jetzt die neueste Lancom-Firmware installiert. Wenn ich allerdings das aus Lanconfig exportierte Zertikationsfile probeweise an einem PC installieren möchte, kommt die Fehlermeldung "Ungültige Öffentlicher Schlüssel-Sicherheitsobjektdatei-Diese Datei ist für folgende Verwendung ungültig-Informationsaustausch". Nehme ich zum Export allerdings den Lanconfig-Webbrowser, dann kann ich das Zertifikatfile sehr wohl installieren-irgendwie finde ich das merkwürdig. Und in der Telnetsitzung wird mir unter "show vpn cert" angezeigt: "no such file".
Ich hatte nach Anleitung des Referenzmanual im ADV Client alle Felder bei "Zertifikatsüberprüfung" und auch die ID der Lokale Identität bei "Identität" im ADV Client freigelassen. Eine VPN-Verbindung (die Verbindung habe ich "ZERT" für "Zertifikat" genannt) kommt aber leider nicht zustande, hier das Log:
24.11.2007 11:10:32 Protecting RAS adapter - 0
24.11.2007 11:10:34 IPSDIALCHAN::start building connection
24.11.2007 11:10:34 IPSDIAL::DNSREQ: resolving dnserver over lan: test.dyndns.org
24.11.2007 11:10:34 IPSDIAL->DNSREQ: resolved ipadr: 084.137.111.23
24.11.2007 11:10:34 NCPIKE-phase1:name(zert) - outgoing connect request - main mode.
24.11.2007 11:10:34 XMIT_MSG1_MAIN - zert
24.11.2007 11:10:34 RECV_MSG2_MAIN - zert
24.11.2007 11:10:34 IKE phase I: Setting LifeTime to 28800 seconds
24.11.2007 11:10:34 XMIT_MSG3_MAIN - zert
24.11.2007 11:10:34 IPSDIAL->FINAL_TUNNEL_ENDPOINT:084.137.111.23
24.11.2007 11:11:14 IPSDIAL - disconnected from zert on channel 1.
Für sachdienliche Hinweise, die zur Aufklärung des Falles beitragen, vielen Dank!!
Gruß
Hallo hornigunn,
Wenn das Zertifikat richtig erstellt wurde, dann müsstest Du nachher im Advanced Client unter "Verbindung->Zertifikate" das Aussteller- und Benutzer-Zertifikat sehen können.
Da Du aber schon im AVC die Zertifikatsdetails nicht siehst, scheinen Die von Dir erstellten Zertifikate nicht richtig zu sein...
Sind denn im LANCOM die richtigen Zertifkatsdateien hinterlegt? Das sieht man im Telnet unter "/Status/File-System/Contents"?
Gruß
TC
Nein, die Vorgeheinsweise beim Erstellen der zertifikate ist zwar identisch, aber die Angaben im Zertifikat müssen anders sein. Anhand dieser Angaben wird die Gegenstelle ja identifiziert und da wäre es suboptimal, wenn beide Zertifikate völlig identisch wärenKann denn am Lancomrouter und im ADV Client auch ein und dasselbe Zertifikat installiert werden
Wenn das Zertifikat richtig erstellt wurde, dann müsstest Du nachher im Advanced Client unter "Verbindung->Zertifikate" das Aussteller- und Benutzer-Zertifikat sehen können.
Nein, Du kannst mehrere zertifikate in einem Verzeichnis hinterlegen. Unter "Konfiguration->Zertifikate" dieses Verzeichnis angeben und den Punkt "Softzertifikatauswahl akivieren" auswählen. Anschliessend kannst Du in der Hauptmaske des AVC das entsprechende Zertifikat via Drop-Down auswählen.Kann ich denn nur 1 Zertifikat in den ADV Client zur Zeit aktivieren?
Da Du aber schon im AVC die Zertifikatsdetails nicht siehst, scheinen Die von Dir erstellten Zertifikate nicht richtig zu sein...
Sind denn im LANCOM die richtigen Zertifkatsdateien hinterlegt? Das sieht man im Telnet unter "/Status/File-System/Contents"?
Gruß
TC
Hallo TheCloud,
Deine Hinweise haben mir schon weitergeholfen, danke
Also jetzt kann ich das Benutzer- und Ausstellungszertifikat im Lancom sehen. Aber das CA-Zertifikat ist nicht unbedingt zusätzlich nötig, oder?
Du schreibst, dasgleiche Zertifikat an Router+Client wäre suboptimal. Ist es denn technisch mit VPN also mit ein- und demselben Zertifikat auch gar nicht durchführbar? Kann oder muß denn die ausstellende Zertifizierungsstelle für beide Zertifikate diesselbe sein? Aber auch wenn ich zwei verschiedene Benutzer-Zertifikate am ADV Client und am Router installiere, kommt nach wie vor die obige Fehlermeldung im LOG. Bei den Zertifikaten habe ich jeweils zunächst einmal im Zertifikat nur einen Namen erteilt, keine weiteren Angaben zu Firma, Ort etc.
Im Lancomrouter sehe ich im Telnet die Dateien
oemdata
vpn_pkcs12
issue
rand_seed
Ist das so richtig?
Danke
Gruß
Deine Hinweise haben mir schon weitergeholfen, danke
Also jetzt kann ich das Benutzer- und Ausstellungszertifikat im Lancom sehen. Aber das CA-Zertifikat ist nicht unbedingt zusätzlich nötig, oder?
Du schreibst, dasgleiche Zertifikat an Router+Client wäre suboptimal. Ist es denn technisch mit VPN also mit ein- und demselben Zertifikat auch gar nicht durchführbar? Kann oder muß denn die ausstellende Zertifizierungsstelle für beide Zertifikate diesselbe sein? Aber auch wenn ich zwei verschiedene Benutzer-Zertifikate am ADV Client und am Router installiere, kommt nach wie vor die obige Fehlermeldung im LOG. Bei den Zertifikaten habe ich jeweils zunächst einmal im Zertifikat nur einen Namen erteilt, keine weiteren Angaben zu Firma, Ort etc.
Im Lancomrouter sehe ich im Telnet die Dateien
oemdata
vpn_pkcs12
issue
rand_seed
Ist das so richtig?
Danke
Gruß
Hallo hornigunn,
Irgendetwas scheint abermit Deiner PKCS12 Datei nicht zu stimmen, denn im LANCOM müsste der Inhalt des Containers auftauchen:
vpn_rootcert
vpn_devcert
vpn_devprivkey
vpn_pkcs12
Gruß
TC
Meines Wissens nach ist das mit einem Zertifikat nicht zu schaffen. Du musst für jeden Standort ein eigenes Zertifikat erstellen.Ist es denn technisch mit VPN also mit ein- und demselben Zertifikat auch gar nicht durchführbar?
Sagen wir mal so: Das LANCOM muss den Client identifizieren können. Dies geschiet über das Root Zertifikat. Da das LANCOM z.Zt nur eine Zertifizierungstelle verwalten kann, müssen beide Zertifikate von dieser Zertifizierungsstelle ausgestellt worden sein.Kann oder muß denn die ausstellende Zertifizierungsstelle für beide Zertifikate diesselbe sein?
Irgendetwas scheint abermit Deiner PKCS12 Datei nicht zu stimmen, denn im LANCOM müsste der Inhalt des Containers auftauchen:
vpn_rootcert
vpn_devcert
vpn_devprivkey
vpn_pkcs12
Gruß
TC
Hallo TheCloud,
vielen Dank für Deinen Tipp der VPN-Dateien im Lancom-Router! Es lag an der Passphrase, die ich vorher übergangen hatte. Wenn man hier gar nichts eingibt, kommt nämlich trotzdem die Meldung, daß das File hochgeladen ist und damit war der Fall für mich dann erledigt
Jetzt habe ich endlich die VPN-Files im Lancom, super!
Und was das Beste ist: Die VPN-Verbindung klappt endlich.
Wenn ich die Lancom-Konfiguration sichere, werden dann eigentlich die Zertifikate mitgesichert?
Gruß,
vielen Dank für Deinen Tipp der VPN-Dateien im Lancom-Router! Es lag an der Passphrase, die ich vorher übergangen hatte. Wenn man hier gar nichts eingibt, kommt nämlich trotzdem die Meldung, daß das File hochgeladen ist und damit war der Fall für mich dann erledigt
Jetzt habe ich endlich die VPN-Files im Lancom, super!
Und was das Beste ist: Die VPN-Verbindung klappt endlich.
Wenn ich die Lancom-Konfiguration sichere, werden dann eigentlich die Zertifikate mitgesichert?
Gruß,