Ich könnte wieder mal etwas Hilfe gebrauchen.
Ich habe auf einem Lancom eine MainMode Verbindung etabliert, die derzeit von einem Benutzer verwendet wird. Die Zertifikate wurden mit XCA erzeugt, als PKCS#12 Datei exportiert und auf den Lancom hochgeladen sowie in den AVC des Benutzers importiert. Läuft problemlos. Nun sollten weitere Benutzer auf den zertifikatsbasierten Zugang umgestellt werden. Dazu wurden mit XCA weitere Benutzerzertifikate erstellt. Für die neuen Benutzerzertifikate wurde jeweils ein neuer privater Schlüssel für das jeweilige Zertifikat erzeugt. Lange Rede kurzer Sinn, die neuen Benutzerzertifikate funktionieren alle nicht. Es kommt die Fehlermeldung Default rsa_sig_decode_hash: RSA_public_decrypt () failed
Offensichtlich funktioniert die Entschlüsselung mit den neuen Schlüsseln nicht. Warum ist das so ?
Verwende ich auch für die neuen Benutzerzertifikate den private key des ersten Benutzerzertifikats , dann funktionieren auch die Zertifikate. Allerdings macht das in meinen Augen wenig Sinn, da damit ja alle Benutzer den gleichen privaten Key verwenden würden. Oder habe ich da ein Verständnisproblem ?
Danke und Gruß, Micha
Probleme mit MainMode Zertifikaten in Multiuser Umgebung
Moderator: Lancom-Systems Moderatoren
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Probleme mit MainMode Zertifikaten in Multiuser Umgebung
Hallo Micha,
Definiere mal was Dein erstes Zertifikat ist, bezogen auf "private Key des ersten Users"? Doch nicht etwa das "heilige" Root Zertifikat?
Vg Bernie
Gesendet von iPhone mit Tapatalk
Definiere mal was Dein erstes Zertifikat ist, bezogen auf "private Key des ersten Users"? Doch nicht etwa das "heilige" Root Zertifikat?
Vg Bernie
Gesendet von iPhone mit Tapatalk
Man lernt nie aus.
Re: Probleme mit MainMode Zertifikaten in Multiuser Umgebung
Gemeint ist das Benutzerzertifikat für den ersten Client.
Aber hier nochmal chronologisch was ich genau gemacht habe.
1. Ca-Root Zertifikat mit XCA erstellt
2. Benutzerzertifikat für Client_1 erstellt und mit CA-Root signiert (Vorlage HTTPS_Client); neuer, eigener private key
3. Benutzerzertifikat für Client_1 als PKCS#12 mit certificate chain exportiert.
4. PKCS#12 Datei in Lancom VPN Container 1 und AVC importiert
Die Verbindung Läuft.
5. Neues Benutzerzertifikat für Client_2 erstellt und mit CA-Root signiert (Vorlage HTTPS_Client); neuer, eigener private key
6. Benutzerzertifikat für Client_2 als PKCS#12 mit certificate chain exportiert.
7. PKCS#12 Datei in AVC des zweiten Benutzers importiert
Verbindung mit dem Client_2 funzt nicht. Es tritt der oben beschriebene Fehler auf.
Verbindung mit dem Benutzerzertifikat Client_1 geht nach wie vor problemlos.
Danke Bernie für die Hilfe.
Aber hier nochmal chronologisch was ich genau gemacht habe.
1. Ca-Root Zertifikat mit XCA erstellt
2. Benutzerzertifikat für Client_1 erstellt und mit CA-Root signiert (Vorlage HTTPS_Client); neuer, eigener private key
3. Benutzerzertifikat für Client_1 als PKCS#12 mit certificate chain exportiert.
4. PKCS#12 Datei in Lancom VPN Container 1 und AVC importiert
Die Verbindung Läuft.
5. Neues Benutzerzertifikat für Client_2 erstellt und mit CA-Root signiert (Vorlage HTTPS_Client); neuer, eigener private key
6. Benutzerzertifikat für Client_2 als PKCS#12 mit certificate chain exportiert.
7. PKCS#12 Datei in AVC des zweiten Benutzers importiert
Verbindung mit dem Client_2 funzt nicht. Es tritt der oben beschriebene Fehler auf.
Verbindung mit dem Benutzerzertifikat Client_1 geht nach wie vor problemlos.
Danke Bernie für die Hilfe.
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: Probleme mit MainMode Zertifikaten in Multiuser Umgebung
Hallo Micha,
Ich denke bei 4. liegt der Fehler. Da ja das speziell für Client1 zutreffende Zert ins Lancom geladen wird, kann auch nur diese Verbindung "beglaubigt" werden. Du brauchst ein allgemeines Zert, glaube Vorlage Server in XCA fürs Lancom.
Vg Bernie
Gesendet von iPhone mit Tapatalk
Ich denke bei 4. liegt der Fehler. Da ja das speziell für Client1 zutreffende Zert ins Lancom geladen wird, kann auch nur diese Verbindung "beglaubigt" werden. Du brauchst ein allgemeines Zert, glaube Vorlage Server in XCA fürs Lancom.
Vg Bernie
Gesendet von iPhone mit Tapatalk
Man lernt nie aus.
Re: Probleme mit MainMode Zertifikaten in Multiuser Umgebung
Kaum macht man es richtig, schon funktioniert es. Genau das war es. Danke schön.