VPN mit Zertifikaten: LAN-LAN und Client-Einwahl

[Micha81]

Ich habe diese Diskussion so verstanden ob man allein bei Zugriff auf eine exportierte PKCS#12 gültige Zertifikate durch importieren derselben in eine "Klon-Datenbank"ausstellen kann, die dann in der entsprechenden Umgebung akzeptiert werden. Ich gehe also davon aus, dass kein Zugriff auf die Inhalte der Originaldatenbank möglich ist und lediglich eine exportierte PKCS#12 zur Verfügung steht.

Ich bleibe dabei dass das nicht möglich ist, da die PKCS#12 Datei den privaten Schlüssel des Root Zertifikats nicht enthält. Dieser ist vom CA auf jeden Fall geheim zu halten. Das ist das Prinzip der ganzen Geschichte. Ist das nicht der Fall ist die gesammte Zertifikatskette kompromitiert.

Anders sieht es natürlich aus sofern man Zugriff auf die Originaldatenbank hat. Dann lässt sich alles was benötigt wird exportieren. Das hätte man bei Zugriff auf die Originaldatenbank aber auch dort tun können.

[firefox_i]

Hallo zusammen,

Bernie und Micha, ich bin der Meinung ihr habt beide recht.

@Bernie
Wenn Du schreibst:

In der Anleitung der Lancom KB wird bei Punkt 4.2 das Format PCKS#12 verwendet, weil man dieses Format für den Import in den Lancom Router benötigt. XCA kann aber nur *exportieren, wenn man auch den privaten Schlüssel mit exportiert - egal ob man dafür noch ein separates Passwort innerhalb von XCA vergibt. Dieses Passwort wird halt beim Export verlangt, oder aber der Export abgebrochen.

dann ist das Kapitel 4.2 doch der Teil bei dem das Client (!) Zertifikat exportiert wird.
Und in der PKCS#12 Datei ist tatsächlich der private Schlüssel drin... aber eben nur vom Client Zertifikat.
Der private Schlüssel des Root-Zertifikats nicht.

Das Root Zertifikat wird übrigens meiner Meinung nach nicht auf den Router geschrieben....

Also letztenendes:
- JA in einem PKCS#12 ist der private Schlüssel drin
- NEIN beim Export eines Client Zertifikates ist der private Schlüssel des Root Zertifikates nicht enthalten sondern nur dessen öffentlicher Schlüssel.

Gruß
S.

[Hagen2000]

Ja, ich finde es auch gut, dieses Thema detailliert zu diskutieren!

Hallo,

schön, dass wir miteinander zu dem Thema diskutieren hier. Ist ein spannendes Thema.

In der Anleitung der Lancom KB wird bei Punkt 4.2 das Format PCKS#12 verwendet, weil man dieses Format für den Import in den Lancom Router benötigt. XCA kann aber nur *exportieren, wenn man auch den privaten Schlüssel mit exportiert - egal ob man dafür noch ein separates Passwort innerhalb von XCA vergibt. Dieses Passwort wird halt beim Export verlangt, oder aber der Export abgebrochen.

XCA_Export.jpg

Für das exportierte Zertifikat samt privaten Schlüssel muss dann ein Passwort vergeben werden - eben um den privaten Schlüssel zu schützen. Genau dieses Passwort benötigt man aber wieder, um den Upload in den Router zu machen. Ist es im Router, dann ist dort auch der private Schlüssel eben dieses Root Zertifikates mit abgelegt. Jeder, der das Router Passwort kennt, kann wiederum einen Export durchführen. Zumindest wird das in den Tools angeboten - ich hatte bisher damit keinen Erfolg und hatte auch schon an andere Stelle hier nachgefragt, aber bisher hat sich dazu niemand geäußert.

@Bernie: Der Screenshot befindet sich nicht unter Punkt 4.2 in dem verlinkten KB-Dokument von Lancom, auf den ersten Blick konnte ich ihn überhaupt nicht darin finden. Woher stammt der Screenshot?

[steveurkel]

...wenn ich das also richtig verstanden habe reicht es bei zwei Routern die miteinander vernetzt sind eine Root-CA und für jeden Teilnehmer (also Router und mobile Clients) ein Client-Zertifikat zu erstellen. Die Zertifikate unterscheiden sich nicht, außer zur Identifizierung bei /OU /CN usw? Damit kann dann auch ein mobiler Client das gleiche Zertifikat nutzen um sich bei dem einen als auch dem anderen Router einzuwählen, richtig? (sofern im Router konfiguriert)

[Hagen2000]

Selbst wenn man es an der Stelle den Export des privaten Schlüssels verhindern könnte, im Ref Manual steht ganz konkret, dass im Gerät ein privater Schlüssel benötigt wird. Und wenn mit dem Root Zertifikat selbst als Gerätezertifikat gearbeitet wird, ist es nun mal dessen privater Schlüssel, der benötigt wird.

Hallo Bernie,

an der Stelle im LCOS-Refmanual steht doch ganz klar, was benötigt wird:
- Root-Zertifikat
- Geräte-Zertifikat
- Private Key des Gerätes
Alternativ:
- PKCS#12-Datei mit einer Kombination aus Root-Zertifikat, Geräte-Zertifikat und Private Key (des Gerätezertifikats)
Die fett geschriebenen Begriffe habe ich der Klarheit halber eingefügt.

[Hagen2000]

...wenn ich das also richtig verstanden habe reicht es bei zwei Routern die miteinander vernetzt sind eine Root-CA und für jeden Teilnehmer (also Router und mobile Clients) ein Client-Zertifikat zu erstellen. Die Zertifikate unterscheiden sich nicht, außer zur Identifizierung bei /OU /CN usw? Damit kann dann auch ein mobiler Client das gleiche Zertifikat nutzen um sich bei dem einen als auch dem anderen Router einzuwählen, richtig? (sofern im Router konfiguriert)

Ja. Allerdings: Die (Geräte-)Zertifikate unterscheiden sich natürlich noch an einer ganz wesentlichen Stelle: Nämlich ihren privaten und öffentlichen Schlüsseln.

[Hagen2000]

@Bernie

Benutzt Du vielleicht gar keine Gerätezertifikate sondern einfach auf beiden Gegenstellen das selbe Root-Zertifikat? Das würde vielleicht einiges erklären...

[Bernie137]

Hallo zusammen,

ich merke schon, es kommt bei dieser Diskussion auf jedes Wörtchen an. Ich muss echt exakter formulieren hier. Ich hoffe es gelingt mir.

Also letztenendes:
- JA in einem PKCS#12 ist der private Schlüssel drin
- NEIN beim Export eines Client Zertifikates ist der private Schlüssel des Root Zertifikates nicht enthalten sondern nur dessen öffentlicher Schlüssel.

Exakt, so sehe und meine ich das auch.

Die ursprüngliche Diskussion ist daraus entstanden

Wenn ich die Knowledgebase richtig deute bekommt der Router auf den sich eingewählt wird das Root-Zertifikat der CA. Dementsprechend dann die Clients das von der Root CA unterschriebene Client-Zertifikat.

Ich wollte davor warnen, das Dokument, bis Punkt 5.1 abzuarbeiten und den Export als PCKS#12 durchzuführen, denn damit exportiert man den privaten Schlüssel des ROOT Zertifikates (...und könnte Klondatenbanken verwenden).

Ich habe diese Diskussion so verstanden ob man allein bei Zugriff auf eine exportierte PKCS#12 gültige Zertifikate durch importieren derselben in eine "Klon-Datenbank"ausstellen kann, die dann in der entsprechenden Umgebung akzeptiert werden. Ich gehe also davon aus, dass kein Zugriff auf die Inhalte der Originaldatenbank möglich ist und lediglich eine exportierte PKCS#12 zur Verfügung steht.

Wie gesagt, ich meinte es in Bezug aufs Root Zertifikat selbst.

Ich bleibe dabei dass das nicht möglich ist, da die PKCS#12 Datei den privaten Schlüssel des Root Zertifikats nicht enthält. Dieser ist vom CA auf jeden Fall geheim zu halten. Das ist das Prinzip der ganzen Geschichte. Ist das nicht der Fall ist die gesammte Zertifikatskette kompromitiert.

Ja, damit hast Du schon recht. Aber nur in Bezug auf jedes Client Zertifikat oder sonstig ausgestellte Zertifikate. Daher unsere Verwechslung.

@Bernie: Der Screenshot befindet sich nicht unter Punkt 4.2 in dem verlinkten KB-Dokument von Lancom, auf den ersten Blick konnte ich ihn überhaupt nicht darin finden. Woher stammt der Screenshot?

Das Dokument ist schon älter. Seinerzeit stand der Spruch nicht in XCA. Ich habe gerade XCA 1.3.2, da zeigt es das so an.

Benutzt Du vielleicht gar keine Gerätezertifikate sondern einfach auf beiden Gegenstellen das selbe Root-Zertifikat? Das würde vielleicht einiges erklären...

Nein, ganz sicher nur Client Zertifikate!

Die Anleitung in der Lancom KB ist richtig im Sinne von funktional. Dennoch finde ich es bedenklich, wenn man gerade das Root Zertifikat samt seinen privaten Schllüssel in Umlauf bringt.

Diese Aussage von mir kam zu Stande, weil ich auch den Punkt 5.2 des Lancom KB Dokumentes übersehen habe. Dennoch wende ich es selbst richtig an. Bleibt zu hoffen, das es nicht auch jemand anders übersieht, aber dann falsch anwendet.

vg Bernie

[Hagen2000]

Hallo Bernie,

um nochmal auf den Screenshot zu Kapitel 4.2 zurückzukommen:
Ich meinte nicht den von Dir markierten Spruch (ich benutze übrigens die gleiche xca-Version), sondern die Tatsache, dass in dem von Dir hier eingestellten Screenshot das CA-Zertifikat ("VPN-CA.p12") exportiert wird, im KB-Dokument unter 4.2 jedoch das Client-Zertifikat ("C:\Programme\xca\Client.12") exportiert wird.

Im Kapitel 5.2 wiederum wird als Exportformat DER vorgeschlagen - ein Format, dass keinen Schlüssel sondern nur das Zertifikat enthält.

Ich sehe da keinen Fehler im KB-Dokument.

[Bernie137]

Hallo hagen2000,

Im Kapitel 5.2 wiederum wird als Exportformat DER vorgeschlagen - ein Format, dass keinen Schlüssel sondern nur das Zertifikat enthält.

Korrekt, ich hatte es - wie bereits geschrieben - übersehen. Alles ist gut.

sondern die Tatsache, dass in dem von Dir hier eingestellten Screenshot das CA-Zertifikat ("VPN-CA.p12") exportiert wird, im KB-Dokument unter 4.2 jedoch das Client-Zertifikat ("C:\Programme\xca\Client.12") exportiert wird.

Das Bild soll aber zu Punkt 5.1. gehören, nicht 4.2, mit dem Zusatz Punkt 5.2. nicht beachtet zu haben. Ich habe es mir für das Bild erspart, extra noch ein Client Zertifikat zu erstellen, denn ich wollte ja den Export des Root Zertifikates selber zeigen. Denke Dir bitte einfach, dass dort noch ein Client Zertifikat darunter steht, um welches es mir in dieser Sache gar nicht ging.

vg Bernie