Lancom AVC 1.3 und Aladdin eToken

[Transcendence]

Hi,

ich verwende seit ein paar Monaten einen LC1722 u.a. als VPN-Gateway, über das Mitarbeiter und ich von unterwegs mit Notebook und AVC 1.3 auf das Firmen-LAN zugreifen. Bisher hatte ich dazu jeweils eine PKCS#12-Datei mit einem selbstsignierten CA-Zertifikat der Firma, einem von dieser CA signierten Benutzer-Zertifikat und dem zugehörigen privaten Schlüssel in einem verschlüsselten Container auf den Notebooks liegen. Nun möchte ich statt dessen eToken PRO 32K von Aladdin einsetzen, um das Handling zu vereinfachen und eine Hardwarekomponente für eine Zwei-Faktor-Authentisierung einzuführen.

Nach dem Import der PKCS#12-Datei in so einen eToken habe ich dort wie erwartet die beiden Zertifikate und den privaten Schlüssel vorgefunden. Nach der Umstellung des AVC auf "PKCS#11-Modul" und dem anschließenden Durchlaufen des Assistenten hat der AVC den eToken sowie das Benutzerzertifikat erkannt. Er zeigt auch das Symbol "Chipkarte" an, dessen Farbe sich von blassblau nach grün ändert, sobald ich den eToken einstecke.

Wenn ich nun aber eine Verbindung zum LC1722 herstellen möchte, nimmt der AVC zwar die Pin an und bestätigt die Richtigkeit durch das entsprechende Symbol, bricht jedoch den Versuch nach wenigen Sekunden ab. Im Logfile finde ich dann solche Einträge (Firmenname und E-Mail-Adresse ausge-x-t):

Code: Alles auswählen

21.10.2006 15:26:07  NCPIKE-phase1:name(xxx - VPN) - error - PKI ERROR: - xxx@xxx.com Client Error: Verify Server Certificate with error 2002 ! (unable to get issuer certificate)
21.10.2006 15:26:07  
21.10.2006 15:26:07  AUTOMEDIA DETECT - Tried all avaliable media types
21.10.2006 15:26:07  IPSDIAL  - disconnected from xxx - VPN on channel 1.

Mir ist die Bedeutung der Fehlermeldung nicht klar. Da es um das "issuer certificate" geht, vermute ich, dass der Fehler das CA-Zertifikat betrifft. Bedeutet das, dass

- das CA-Zertifikat auf dem eToken nicht gefunden wurde,
- das CA-Zertifikat auf dem eToken nicht verifiziert werden konnte (wogegen?),
- das CA-Zertifikat des LC1722 nicht verifiziert werden konnte (wogegen?),
- oder etwas völlig anderes?

Ich stehe da gerade etwas auf der Leitung. Woran könnte das liegen? Für Hinweise wäre ich sehr dankbar.

Beste Grüße
Frank

[eddia]

Hallo Frank,

Mir ist die Bedeutung der Fehlermeldung nicht klar. Da es um das "issuer certificate" geht, vermute ich, dass der Fehler das CA-Zertifikat betrifft. Bedeutet das, dass

- das CA-Zertifikat auf dem eToken nicht gefunden wurde

genau das ist damit gemeint. Da ich jedoch Deinen eToken nicht kenne, kann ich zur Ursache nichts sagen.

Gruß

Mario

[Transcendence]

Hallo Mario,

herzlichen Dank für Deinen Hinweis, er traf tatsächlich zu.

Des Rätsels Lösung, nach langem Probieren gefunden: Während der Einrichtung des PKCS#11-Moduls wurde zwar das Benutzerzertifikat aufgeführt, nicht aber das CA-Zertifikat, obwohl es mit dem ersteren zusammen in den eToken importiert wurde. Der Unterschied aus installationstechnischer Sicht zwischen diesen beiden Zertifikaten: Für das Benutzerzertifikat wurde auch der zugehörige private Schlüssel importiert, für das CA-Zertifikat nicht, da es in der PKCS#12-Datei nicht enthalten ist.

Also habe ich schließlich auch noch den privaten Schlüssel des CA-Zertifikats importiert, und siehe da: Nun wurde auch das CA-Zertifikat zur Auswahl angezeigt und es klappte auch die VPN-Verbindung. Der eToken hat also die Eigenart, Zertifikate nur dann zu propagieren, wenn auch der zugehörige private Schlüssel vorliegt, so dass beide privaten Schlüssel importiert werden müssen.

Da es indiskutabel ist, Mitarbeitern den privaten Schlüssel der Firmen-CA mit zu geben, muss man also auch beim Einsatz des eToken das CA-Zertifikat im Unterverzeichnis /CaCerts des AVC ablegen, damit es gefunden wird. Und so klappt es nun auch.

Beste Grüße
Frank