Hallo zusammen,
gerne würde ich perspektivisch einigen System die Authentifizierung per Smartcard "gestatten". Dazu ist jedoch etwas Vorarbeit notwendig. Für Windows Server gibt es einen Blog mit einer guten Anleitung:
http://www.winteach.de/windows-server/a ... zsoftware/
Das sind etliche Schritte, die da durchzuführen sind.
Jetzt meine Frage:
Ein LANCOM WLC und auch die VPN-25-Option haben ja ihre eigene CA. Wäre es theoretisch möglich, über diese ein PKCS#12-Zertifikat zu erstellen, dieses auf die Smartcard zu transferieren und somit die Authentifizierung durchzuführen? Oder gibt es Gründe, die das verhindern?
Hat jemand Ideen und Erfahrungen dazu?
Viele Grüße und danke
fildercom.
LANCOM CA auch für Smartcard-Zertifikate zu gebrauchen?
Moderator: Lancom-Systems Moderatoren
LANCOM CA auch für Smartcard-Zertifikate zu gebrauchen?
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn;
Switches: 4 x aruba 6100 12G; 2 x Cisco 3560-CX; 2 x Extreme X440G2-12p-10GE4; 2 x Juniper EX2300-C-12P; 3 x Zyxel XS1930-12F
Wireless: WLC-4006+; 4 x L-452agn;
Switches: 4 x aruba 6100 12G; 2 x Cisco 3560-CX; 2 x Extreme X440G2-12p-10GE4; 2 x Juniper EX2300-C-12P; 3 x Zyxel XS1930-12F
-
GrandDixence
- Beiträge: 1150
- Registriert: 19 Aug 2014, 22:41
Re: LANCOM CA auch für Smartcard-Zertifikate zu gebrauchen?
Wenn man den "Private Key" eines asymmetrischen Schlüsselverfahrens als "besonders schützenswert" erachtet, so lässt man diesen in einem HSM (zum Beispiel: SmartCard, SIM-Karte, USB-Stick mit Krypto-Chip, TPM) mit den HSM-eigenen Kryptografie-Funktionen und dem HSM-eigenen Zufallszahlengenerator erstellen und der Private Key verlässt nie das HSM. Das HSM hat die Hauptaufgabe, den "Private Key" software- wie physikalisch vor dem Auslesen durch Zweit- oder Drittpersonen zu schützen. => Der HSM ist der "sichere Tresor" für das Aufbewahren eines "Private Key".
https://de.wikipedia.org/wiki/Asymmetri ... yptosystem
https://de.wikipedia.org/wiki/Hardware-Sicherheitsmodul
Wird der "Public Key" für Verschlüsselung verwendet und somit der "Private Key" für die (asymmetrische) Entschlüsselung benötigt, sollte vom im HSM-geschützten "Private Key" ein Backup erstellt werden mit der HSM-Backupfunktion. => Einzige Ausnahme, wo der "Private Key" das HSM (in symmetrisch verschlüsselter Form) verlässt.
Wird der "Private Key" nur für digitale Signaturen (elektronische Unterschrift) verwendet, kann/darf/sollte vom im HSM-geschützten "Private Key" niemals ein Backup erstellt werden! => SuisseID (CH), elektronischer Personalausweis (nPA => eID) (DE), Bürgerausweis (AT)
Um den höchsten Schutz zu erreichen, baut man für das asymmetrische Schlüsselverfahren eine eigene Public-Key-Infrastruktur (PKI) auf.
https://de.wikipedia.org/wiki/Public-Key-Infrastruktur
Die LANCOM-Geräte mit LCOS-Betriebssystem unterstützen die Verwendung der eigenen Public-Key-Infrastruktur (PKI), da eine explizite Wahl der zu verwendenden CA (certificate authority) möglich ist.
Mir ist nicht bekannt, dass LANCOM-Geräte eine Verwendung von HSM-geschützten "Private Key" ermöglicht. Mal abgesehen von SIM-Karten für die Authorisierung im Mobilfunknetz. Der "Private Key" auf der SIM-Karte wird für die Anmeldung im Mobilfunknetz benötigt.
https://de.wikipedia.org/wiki/Asymmetri ... yptosystem
https://de.wikipedia.org/wiki/Hardware-Sicherheitsmodul
Wird der "Public Key" für Verschlüsselung verwendet und somit der "Private Key" für die (asymmetrische) Entschlüsselung benötigt, sollte vom im HSM-geschützten "Private Key" ein Backup erstellt werden mit der HSM-Backupfunktion. => Einzige Ausnahme, wo der "Private Key" das HSM (in symmetrisch verschlüsselter Form) verlässt.
Wird der "Private Key" nur für digitale Signaturen (elektronische Unterschrift) verwendet, kann/darf/sollte vom im HSM-geschützten "Private Key" niemals ein Backup erstellt werden! => SuisseID (CH), elektronischer Personalausweis (nPA => eID) (DE), Bürgerausweis (AT)
Um den höchsten Schutz zu erreichen, baut man für das asymmetrische Schlüsselverfahren eine eigene Public-Key-Infrastruktur (PKI) auf.
https://de.wikipedia.org/wiki/Public-Key-Infrastruktur
Die LANCOM-Geräte mit LCOS-Betriebssystem unterstützen die Verwendung der eigenen Public-Key-Infrastruktur (PKI), da eine explizite Wahl der zu verwendenden CA (certificate authority) möglich ist.
Mir ist nicht bekannt, dass LANCOM-Geräte eine Verwendung von HSM-geschützten "Private Key" ermöglicht. Mal abgesehen von SIM-Karten für die Authorisierung im Mobilfunknetz. Der "Private Key" auf der SIM-Karte wird für die Anmeldung im Mobilfunknetz benötigt.