Hallo zusammen,
wer schonmal die Zertifikats-Überprüfung für ein Profil eingeschaltet hat, der hat sicher auch schon mal die folgende Meldung gesehen (s. Anhang).
Ich sehe ein, daß man hier nicht alle X.500-Attribute vorsehen kann, es gibt einfach zuviele davon. Im Fall von DomainComponent (kurz DC, siehe RFC2247) ist das aber besonders schade. Den X.500-DN eines Netzwerkgeräts entsprechend seines DNS-Names zu wählen ist einfach naheliegend.
Wäre das ein Riesenaufwand, den advanced Client dahingehend zu erweitern?
Viele Grüße,
Andreas
Adv. VPN-Client: Zertifikatsüberprüfung
Moderator: Lancom-Systems Moderatoren
-
AndreasMarx
- Beiträge: 131
- Registriert: 31 Jan 2005, 19:10
- Wohnort: München
Adv. VPN-Client: Zertifikatsüberprüfung
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
LANCOM 1722,1724,1821+,L-322agn dual,1681V,1781EW,1781VA,1781EW+
-
AndreasMarx
- Beiträge: 131
- Registriert: 31 Jan 2005, 19:10
- Wohnort: München
LANCOM Adv. VPN-Client nicht X.509v3-konform
Hallo zusammen,
nach etwas Recherche kann ich es nun guten Gewissens etwas schärfer formulieren:
Im Datenblatt zum LC-ADV-VPN-Client steht, der Client unterstütze "Public Key-Infrastruktur nach X.509v3". Wenn ich mal RFC3280 als normatives Dokument zu X.509v3 annehme, dann ist das nicht richtig.
RFC3280 sagt in Abschnitt 4.1.2.4 "Issuer" folgendes:
Da die Authentifizierung der Gegenstelle m.E. elementarer Bestandteil eines sicheren Firmenzugangs ist, wird der ADV-VPN-Client hier seinem Anspruch nicht gerecht.
Viele Grüße,
Andreas
P.S.: Nicht, daß Ihr mich falsch versteht --- ich bin ansonsten schwer begeistert von dem Teil --- und eigentlich auch sehr zufrieden. IPSec mit Zertifikaten auf Cryptoflex-Smartcards funktionierten eigentlich auf Anhieb. Ich würde den LC-VPN-Client auch jederzeit weiterempfehlen.
nach etwas Recherche kann ich es nun guten Gewissens etwas schärfer formulieren:
Im Datenblatt zum LC-ADV-VPN-Client steht, der Client unterstütze "Public Key-Infrastruktur nach X.509v3". Wenn ich mal RFC3280 als normatives Dokument zu X.509v3 annehme, dann ist das nicht richtig.
RFC3280 sagt in Abschnitt 4.1.2.4 "Issuer" folgendes:
Der LC-ADV-VPN-Client erlaubt es nicht, das Zertifikat der Gegenstelle oder den Aussteller dieses Zertifikats zu prüfen, wenn der DN das Attribut domainComponent oder seine Kurzform "dc" enthält.In addition, implementations of this specification MUST be prepared
to receive the domainComponent attribute, as defined in RFC 2247.
Da die Authentifizierung der Gegenstelle m.E. elementarer Bestandteil eines sicheren Firmenzugangs ist, wird der ADV-VPN-Client hier seinem Anspruch nicht gerecht.
Viele Grüße,
Andreas
P.S.: Nicht, daß Ihr mich falsch versteht --- ich bin ansonsten schwer begeistert von dem Teil --- und eigentlich auch sehr zufrieden. IPSec mit Zertifikaten auf Cryptoflex-Smartcards funktionierten eigentlich auf Anhieb. Ich würde den LC-VPN-Client auch jederzeit weiterempfehlen.
LANCOM 1722,1724,1821+,L-322agn dual,1681V,1781EW,1781VA,1781EW+