Smart Certificates Gültigkeit verlängern

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

btlc
Beiträge: 8
Registriert: 20 Mär 2023, 20:35

Smart Certificates Gültigkeit verlängern

Beitrag von btlc »

Liebe Foren-Mitglieder,

ich bin neu hier und hoffe, dass mir jemand von Euch durch einen oder zwei Hinweise auf die Sprünge helfen kann:


Für die Verbindung mehrerer VPN-Clients zu einem Lancom 1781VAW Router nutze ich individuelle Smart Certificates plus individuelle Zugangsdaten für jede VPN-Verbindung (per IPSec IKEv1 und Shrew Soft Client).

Die Zertifikate wurden vor einigen Jahren erstellt, für eine Gültigkeitsdauer von mehreren Jahren. Diese laufen demnächst ab.

Wenn ich jetzt neue Zertifikate erstelle, ist die neue Gültigkeitsdauer allerdings nicht viel länger als bei den alten.

Ich vermute, das hängt irgendwie mit dem Root CA Zertifikat zusammen.


Meine Fragen sind:

1) Kann ich die bestehenden Smart Certificates für die Clients verlängern?

2) Wenn das nicht geht, wie kann ich dann neue Smart Certificates für die Clients erstellen, die dann wieder einige Jahre gültig sind?

3) Wenn ich neue Zertifikate erstellen muß, gibt es dann ein Szenario, in dem die Clients prinzipiell die alten Zertifikate bis zum Gültigkeits-Ablauf weiternutzen können, und wo ich dann die einzelnen Clients in Ruhe (Zug um Zug) noch vor Gültigkeits-Ablauf auf die neuen Zertifikate umstellen kann? Also eine Art "Temporärer Parallel-Betrieb" neuer und alter Zertifikate?


Vielleicht kennt sich jemand von Euch ja mit solchen Fällen aus. Freue mich über jeden Hinweis oder Tip.


Vielen Dank im Voraus für Eure Nachrichten

btlc
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Smart Certificates Gültigkeit verlängern

Beitrag von tstimper »

Hi btlc
btlc hat geschrieben: 20 Mär 2023, 21:01
Wenn ich jetzt neue Zertifikate erstelle, ist die neue Gültigkeitsdauer allerdings nicht viel länger als bei den alten.

Ich vermute, das hängt irgendwie mit dem Root CA Zertifikat zusammen.

1) Kann ich die bestehenden Smart Certificates für die Clients verlängern?

2) Wenn das nicht geht, wie kann ich dann neue Smart Certificates für die Clients erstellen, die dann wieder einige Jahre gültig sind?
Eine CA kann maximal ein Zertifikat ausstellen, das bis zum Ablauf der Gültigkeit der CA läuft.
Du musst also erstmal die CA verlängern
btlc hat geschrieben: 20 Mär 2023, 21:01
3) Wenn ich neue Zertifikate erstellen muß, gibt es dann ein Szenario, in dem die Clients prinzipiell die alten Zertifikate bis zum Gültigkeits-Ablauf weiternutzen können, und wo ich dann die einzelnen Clients in Ruhe (Zug um Zug) noch vor Gültigkeits-Ablauf auf die neuen Zertifikate umstellen kann? Also eine Art "Temporärer Parallel-Betrieb" neuer und alter Zertifikate?
Das geht nicht zum selben VPN Gateway.
Du könntest temporär VPN auf Preshared Key umstellen, die CA neu machen, neue zertifikate generieren und dann wieder VPN üner Zertifikate umstellen.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
btlc
Beiträge: 8
Registriert: 20 Mär 2023, 20:35

Re: Smart Certificates Gültigkeit verlängern

Beitrag von btlc »

Hallo @tstimper,

vielen Dank für Deine Hinweise!

Das heißt für mich, dass ich zunächst in der Dokumentation schauen muß, wie ich die CA verlängere.

Habe ich Dich richtig verstanden, dass bereits in dem Moment wo ich die CA verlängere, die alten Zertifikate ungültig werden?

Viele Grüße
btlc
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Smart Certificates Gültigkeit verlängern

Beitrag von tstimper »

Hallo btlc
btlc hat geschrieben: 21 Mär 2023, 13:10 Habe ich Dich richtig verstanden, dass bereits in dem Moment wo ich die CA verlängere, die alten Zertifikate ungültig werden?
Ja so funktionieren Zertifikate. Ich habe bei VPNs keine Zertifikate im Einsatz, Preshared Keys immer mal zu wechseln ist da einfacher...
Andere im Forum schwören auf Zertifikate bei VPNs.
Die meisten werden das zentrale Gateway lange vor Ablauf der CA schon getauscht haben und deshalb fällt das Problem nicht so auf.
Vielleicht hat noch jemand eine bessere Idee ...

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
btlc
Beiträge: 8
Registriert: 20 Mär 2023, 20:35

Re: Smart Certificates Gültigkeit verlängern

Beitrag von btlc »

OK, danke Dir nochmals @tstimper, und ja, vielleicht kommen ja noch andere Ideen. VG
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: Smart Certificates Gültigkeit verlängern

Beitrag von UKernchen »

Keine Zertifikate benutzen.

Auch meine Meinung.

Gruß Uwe
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Smart Certificates Gültigkeit verlängern

Beitrag von Dr.Einstein »

tstimper hat geschrieben: 21 Mär 2023, 13:44 Die meisten werden das zentrale Gateway lange vor Ablauf der CA schon getauscht haben und deshalb fällt das Problem nicht so auf.
Das hat damit wenig zutun. Wenn du die Zentrale austauscht, hast du ja trotzdem das Problem mit der neuen Root-CA und den bestehenden Clients draußen, die auf die alte CA zeigen. Und angenommen, du hast 100+ Standorte wirste schwer bis gar nicht alle gleichzeitig auswechseln können. Leider kenne ich die Lancom Smart Cert. Option zu wenig um dir helfen zu können. Normalerweise verlängert man die CA bzw. stellt neue privat/public Keys aus. Darauf basierend werden dann die Clientzertifikate verlängert. Beide CA Zertifikate bestehen parallel, sodass alte und neue Clients parallel laufen. Wenn alle Clients aktualisiert sind, kann das alte Root-CA gelöscht werden.

Auf jeden Fall ein sehr ätzendes Thema. Sorry, dass ich dir nicht weiterhelfen kann.
btlc
Beiträge: 8
Registriert: 20 Mär 2023, 20:35

Re: Smart Certificates Gültigkeit verlängern

Beitrag von btlc »

Hallo @Dr.Einstein,

danke für Deinen Kommentar!

Ja, ich denke auch, dass es vielen anderen ebenso geht, dass man bei mehreren Standorten/Clients nicht alle Zertifikate gleichzeitig auswechseln kann.

Deshalb war das, was Du darüber hinaus schreibst, genau meine Hoffnung:
Dr.Einstein hat geschrieben: 22 Mär 2023, 14:01 Beide CA Zertifikate bestehen parallel, sodass alte und neue Clients parallel laufen. Wenn alle Clients aktualisiert sind, kann das alte Root-CA gelöscht werden.
Vielleicht hat hier noch jemand Erfahrungen mit Lancom Smart Certificates. Da diese, soweit ich weiß, in der "25 VPN"-Option enthalten ist, kann es natürlich sein, dass nur wenige dieses Feature haben und nutzen.

Viele Grüße
btlc
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Smart Certificates Gültigkeit verlängern

Beitrag von tstimper »

btlc hat geschrieben: 22 Mär 2023, 15:09 Hallo @Dr.Einstein,

danke für Deinen Kommentar!

Ja, ich denke auch, dass es vielen anderen ebenso geht, dass man bei mehreren Standorten/Clients nicht alle Zertifikate gleichzeitig auswechseln kann.

Deshalb war das, was Du darüber hinaus schreibst, genau meine Hoffnung:
Dr.Einstein hat geschrieben: 22 Mär 2023, 14:01 Beide CA Zertifikate bestehen parallel, sodass alte und neue Clients parallel laufen. Wenn alle Clients aktualisiert sind, kann das alte Root-CA gelöscht werden.
Vielleicht hat hier noch jemand Erfahrungen mit Lancom Smart Certificates. Da diese, soweit ich weiß, in der "25 VPN"-Option enthalten ist, kann es natürlich sein, dass nur wenige dieses Feature haben und nutzen.

Viele Grüße
btlc
Hallo btlc,

wenn Du willst können wir bei Lancom einen Case aufmachen und uns das vom Support erklären lassen, wie sich LANCOM das bei Ablauf der CA gedacht hat.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
btlc
Beiträge: 8
Registriert: 20 Mär 2023, 20:35

Re: Smart Certificates Gültigkeit verlängern

Beitrag von btlc »

Hallo @tstimper,

ja, das mit dem Lancom Support ist prinzipiell eine gute Idee.

Ich hatte allerdings schon genau das vor über zwei Monaten gemacht, und immer noch keine Antwort vom Lancom Support erhalten. Dort gibt es aktuell Wartezeiten von "mehreren Wochen", was auch immer das am Ende bedeutet.

Darum habe ich es jetzt hier im Forum versucht, das ich erst kürzlich entdeckt habe.

Ich bin übrigens bislang vom Lancom Support sehr begeistert gewesen. In den letzten Jahren hatte ich zwei Anfragen, die für mich extrem wichtig waren, und die relativ kurzfristig, super verständlich und für mich total zielführend beantwortet wurden.

Insofern war ich diesmal nicht darauf vorbereitet, dass da seit über zwei Monaten nichts zurück kommt...

Viele Grüße
btlc
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Smart Certificates Gültigkeit verlängern

Beitrag von tstimper »

btlc hat geschrieben: 22 Mär 2023, 17:19 Hallo @tstimper,

ja, das mit dem Lancom Support ist prinzipiell eine gute Idee.

Ich hatte allerdings schon genau das vor über zwei Monaten gemacht, und immer noch keine Antwort vom Lancom Support erhalten. Dort gibt es aktuell Wartezeiten von "mehreren Wochen", was auch immer das am Ende bedeutet.

Darum habe ich es jetzt hier im Forum versucht, das ich erst kürzlich entdeckt habe.

Ich bin übrigens bislang vom Lancom Support sehr begeistert gewesen. In den letzten Jahren hatte ich zwei Anfragen, die für mich extrem wichtig waren, und die relativ kurzfristig, super verständlich und für mich total zielführend beantwortet wurden.

Insofern war ich diesmal nicht darauf vorbereitet, dass da seit über zwei Monaten nichts zurück kommt...

Viele Grüße
btlc
Seid Iher Endkunde?
Wenn ein Lancom Partner wie wir einen Case aufmacht, gehts schneller.
Ich hab keine Ahnung, wie lange das bei Endkunden grad geht.

Der Support ist wirklich gut, nur ggf auch überlastet.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
btlc
Beiträge: 8
Registriert: 20 Mär 2023, 20:35

Re: Smart Certificates Gültigkeit verlängern

Beitrag von btlc »

Ja genau, wir sind Endkunde.

Mir war nicht bewußt, dass Ihr Lancom Partner seid. Wenn Ihr tatsächlich eine Anfrage an Lancom stellen könntet, wäre das natürlich prima - herzlichen Dank für Dein Angebot, @tstimper.

Meine Anfrage an Lancom war ziemlich 1:1 die, die ich hier gestellt habe.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Smart Certificates Gültigkeit verlängern

Beitrag von tstimper »

btlc hat geschrieben: 22 Mär 2023, 19:23 Ja genau, wir sind Endkunde.

Mir war nicht bewußt, dass Ihr Lancom Partner seid. Wenn Ihr tatsächlich eine Anfrage an Lancom stellen könntet, wäre das natürlich prima - herzlichen Dank für Dein Angebot, @tstimper.

Meine Anfrage an Lancom war ziemlich 1:1 die, die ich hier gestellt habe.
ok, hab die Anfrage losgeschickt

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
btlc
Beiträge: 8
Registriert: 20 Mär 2023, 20:35

Re: Smart Certificates Gültigkeit verlängern

Beitrag von btlc »

Danke Dir! Bin gespannt :)
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Smart Certificates Gültigkeit verlängern

Beitrag von tstimper »

tstimper hat geschrieben: 22 Mär 2023, 19:38
btlc hat geschrieben: 22 Mär 2023, 19:23 Ja genau, wir sind Endkunde.

Mir war nicht bewußt, dass Ihr Lancom Partner seid. Wenn Ihr tatsächlich eine Anfrage an Lancom stellen könntet, wäre das natürlich prima - herzlichen Dank für Dein Angebot, @tstimper.

Meine Anfrage an Lancom war ziemlich 1:1 die, die ich hier gestellt habe.
ok, hab die Anfrage losgeschickt

ts
Heute hat mich der LANCOM Support angerufen.

Die automatische Zertifikatsverlängerung geht nur bei Site To Site VPN Verbindungen
In Lanconfig unter Certificates > CA > Advanced siehst Du den Parameter "Update before".
Der steht auf 4 Tage. Also 4 Tage vor Ablauf der CA generiert LCOS eine neue CA und die VPN Site to Site Gegenstellen bekommen per SCEp die neuen Zertifikate.
So die Theorie, probiert habe ich das noch nie. Das könnten wir im LAB mit einem Test vRouter ausprobieren.
Für den Lancom Advanced VPN Client funktioniert das nicht.


Du kannst also folgendes machen:
Neue VPN Profile für die Clients mit starken Preshared Keys gleich auch IKEv2 anlegen und auf die Clients deployen.
Dann die CA erneuern und neue Zertifikate für die Clients erstellen und ausrollen. (Wenn Du unbedingt wieder Zertifikate haben musst.)

Bei bis zu 25 Clients ist das vermutlich per Hand am schnellsten gemacht.

Wir könnten da auch was scripten, für SiteToSite haben wir das schon in unser ------ eingebaut.

Wenn Du eine Software Verteilung für die Clients implementiert hats, kannst Du dann auch die neuen Profile auf die Clients verteilen.

Wichtig ist ja, das die Profile über einen sicheren Weg auf die Clients kommen.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Antworten