Verwirrung bei Zertifikaten

[maxfox]

Hallo,

ich versuche mich gerade am Aufbau einer VPN-verbindung mit Zertifikaten, komme da aber trotz Handbuch nicht weiter.
Ich habe auf einem WIndows2003 eine Zertifikatsstelle eingerichtet, was auch erstmal funktioniert. Weiter ist dieser Server an einen Lancom 1721 (Feste IP) angeschlossen. Nun soll von einem Advanced-Client (Dyn.IP) eine Verbindung mit Zertifikaten aufgebaut werden.
Das erste problem was ich ahbe ist, dass ich nicht weiß, welchen Zertifikatstyp ich für den lancom und den Advanced-Client auswählen muss. Ich habe schon im Forum gelesen, dass es für den Router wohl ein Zertifikat vom Typ Webserver sein soll, das kan ich aber nicht als exportierbar markieren und bekomm es somit auch nicht in den Lancom.
Braucht auf der anderen Seite der Adv.Client ein Benuterzertifikat?
Und wie ist das mit den Verbindungen, muss ich dyn. VPN einstellen?

Also wie ihr seht, gibt es von meienr Siete aus mehr Fragen als Klarheiten.

Danke schonmal im Voraus für eure Unterstützung.


mfg
Max

[eddia]

Hallo Max,

Das erste problem was ich ahbe ist, dass ich nicht weiß, welchen Zertifikatstyp ich für den lancom und den Advanced-Client auswählen muss.

Du hast den Zertifikatsserver offenbar als Enterprise-CA installiert. Als Zertifikat für den AVC wählst Du einfach 'Benutzerzertifikat'.

Ich habe schon im Forum gelesen, dass es für den Router wohl ein Zertifikat vom Typ Webserver sein soll, das kan ich aber nicht als exportierbar markieren und bekomm es somit auch nicht in den Lancom.

Tja - das ist bei Server 2003 leider so. Die Zertifikatsvorlage 'Webserver' ist dort mit der Eigenschaft 'Schlüssel nicht exportierbar' vorbelegt. Du könntest Dir jetzt eine neue Zertifikatsvorlage erstellen - aber als Vorlage benutzen kann man die nur, wenn Du die Enterprise-Edition von Windows 2003 einsetzt. Alternativ kann man den Zertifikatsserver auch als Standalone installieren. Dann sind natürlich die Features bezüglich Windows AD nicht mehr möglich - aber für Zertifikate Lancom <-> AVC reicht das aus.

Gruß

Mario

[maxfox]

Hallo,

danke erstmal für die Antowrt.

Du meintest, dass man den Zertifikatsserver auch als Standalone installieren kann. Muss das dann ein extra Windwos Server sein oder muss nur die Applikation gesodnert auf dem Windows 2003 Server installiert werden? Wenn ja, wie mach ich das.
Danke
Max

[eddia]

Hallo Max,

Du meintest, dass man den Zertifikatsserver auch als Standalone installieren kann. Muss das dann ein extra Windwos Server sein oder muss nur die Applikation gesodnert auf dem Windows 2003 Server installiert werden?

Du kannst den Zertifikatsserver auf jedem Windows Server installieren. Falls der bei Dir bereits als Enterprise-CA installiert ist, musst Du ihn erst deinstallieren und dann neu installieren. Dabei wählst Du dann die Option 'Eigenständige Stammzertifizierungsstelle' aus.

Bei der Zertifikatsanforderung kannst Du dann für den Lancom ein Serverauthentifizierungszertifikat anfordern oder machst das wie im Referenzmanual von Lancom beschrieben.

Gruß

Mario

[maxfox]

Hallo,

betsen Dank. Es funktioniert nun. Es gibt nur noch eine Frage die ich habe. Kann man das Sperren eines Schlüssels auch irgendwie an den Router weitergeben, sodass der einwählende Client abgelehnt wird, falls der Schlüssel gesperrt ist?

Dank.
Max

[eddia]

Hallo Max,

Kann man das Sperren eines Schlüssels auch irgendwie an den Router weitergeben, sodass der einwählende Client abgelehnt wird, falls der Schlüssel gesperrt ist?

noch nicht - siehe:

http://www.lancom-forum.de/topic,2230,- ... ancom.html

Gruß

Mario

[maxfox]

Danke. Dann muss ich wohl auf die entsprechende LCOS Version warten.

kannst Du mir noch sagen, wie man am besten die Zertifikate auf einem Windows2003 Server so sichert, dass man nach einer Neuinstallation weiterhin Zertifikate ausstellen kann.
Dnake
Max