VPN und Zertifikate

[w.blecker]

Ich weis es wurde sicher schon 100 x gefragt, aber irgendwie fehlt da immer die hälfte ...
Ich habe das Zertifikat laut Anlleitung mit XCA erstellt, als Quasi ein root CA und darunter ein Client Zertifikat was ich mit diesem root ca unterschreibe. Was aber nirgends so richtig steht, was lade ich denn jetzt wo hoch. Wenn ich (wie in der how to steht, die Dinger exportiere, also einmal die Stamm CA und das Client Cert als DER bzw p12 kann ich die in den routern aber nicht hochladen, da wird immer gejammert, die Datei hätte ein falsches Format ... in anderen Howto's werkeln sie dann noch mit openssl herum, im nächsten steht man könne die so importieren...

Meine Fragen, Szenario 2 Router lancom irgendwas --- vpn LAN LAN Kopplung .. welche Zertifikate erstelle ich in XCA, welches Format exportiere ich und was muss ich wo hochladen ....

[Bernie137]

Hallo,

welche Zertifikate erstelle ich in XCA

SSL Client Vorlage, mit Modifikationen laut Lancom HowTo.

welches Format exportiere ich

PKCS # 12 with Certificate chain (Passwort vergeben)

und was muss ich wo hochladen ....

Am besten mit LANconfig -> Rechtsklick -> Konfigurations-Verwaltung -> "Zertifikat oder Datei hochladen": Dateityp: Zertifikat-Dateien; Zertifikattyp: VPN-Container (VPN1) als PKCS # 12.

Beachte http://www.lancom-forum.de/post70761.html#p70761 Besonders den hinweis mit show vpn cert.

vg Heiko

[w.blecker]

Hmm also noch mal dumm gefragt ...

Folgendes Szenario


Router A <--VPN --> Router B bzw. Router A <--VPN--> Lancom VPN Client

Was muß auf Router A und was muß auf Router B eg. den VPN Client an Zertifikaten in welchem Format geladen werden ....

Mehr will ich garnicht wissen

[Bernie137]

Was muß auf Router A und was muß auf Router B

SSL Zertifikat in Form von PKCS # 12. Clients weis ich nicht, auf alle Fälle auch SSL und das Format würde ich auch mit PKCS # 12 testen.

[w.blecker]

Was muß auf Router A und was muß auf Router B

SSL Zertifikat in Form von PKCS # 12. Clients weis ich nicht, auf alle Fälle auch SSL und das Format würde ich auch mit PKCS # 12 testen.

Soweit ist mir das auch klar, was ich nur nirgends finde , das Zertifikat in Router A und B muss ja in irgendeinem Zusammenhang stehen, sonst macht es ja keinen sinn ....

[Bernie137]

Richtig, dafür haben alle Zertifikate das gleiche ROOT Zertifikat ihrer Zertifizierungsstelle gemeinsam, auch die für die Clients.

vg Heiko

[w.blecker]

Richtig, dafür haben alle Zertifikate das gleiche ROOT Zertifikat ihrer Zertifizierungsstelle gemeinsam, auch die für die Clients.

vg Heiko

Okay ja das dachte ich mir schon, und muß diese Root CA auch importiert werden, das hatte nämlich wegen falschem Format nie geklappt?

[Bernie137]

Nein, es wird nicht importiert bzw. exportiert. Das root Zertifikat samt privatem Schlüssel ist ja so zu sagen das Heiligtum, welches nicht das Haus verlässt auf irgendeinem Router Der öffentliche Schlüssel ist aber in jedem der Zertifikate enthalten.

[w.blecker]

Stimmt wenn ich das habe kann ich ja Zertifikate generieren wie ich lustig bin ...

[w.blecker]

Ok, soweit so gut, jetzt tut sich aber ein neues Problem jetzt mit dem Advanced VPN Client auf :

Ich füge jetzt das Zertfikat unter Konfiguration/Zertifikate als PKS12 Datei ein. Danach steht auch Benutzer Zertifikat PKS12 Datei dort.
Nur sonst wird das Ding völlig ignoriert, die Felder Pin Eingeben usw sind grau, und anziegen kann ich sie mir auch nicht. Bei der verbindung kommt dann einer Fehler "no user Zertifikat"
Unter Client Info sieht es auch so aus als wäre nix da. Ich habe das auch mal mit einem TestZertifikat probiert, aber er ignoriert das Ding einfach ..