IPSec VPN mit x509 Zertifikaten für AD-Benutzer

Lan2Lan, VPN, SSL-VPN, Remote DialIn, statische Routen, Radius Setup

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

IPSec VPN mit x509 Zertifikaten für AD-Benutzer

Beitragvon nobody » Sa 13.04.2013 - 00:10

Hat man eine Windows domain, und, eine eigene Zertifizierungstelle, und, sind die Computer alle in der AD-domain, dann ist das etwas simpler als im Handbuch:

- Zertifizierungstellen-root-Zertifikat exportieren, in Draytek Router importieren
- Neues Zertifikat für den Draytek router über das web-ui beantragen:
alternativer Subject name: dns.name.des.routers
common name: dns.name.des.routers

- Windows Zertifizierungstelle als administrator im Browser öffnen:
Neues Zertifikat mit einer "erweiterten anforderung" beantragen, typ: router, offline request. Die daten des Zertifikatsantrages des Vigor mit copy und paste einfügen. Danach Zertifikat herunterladen, im format DER. In den Vigor importieren

- Nun, die clients:
Auf dem Vigor:
für jeden client der unterwegs vpn braucht, eine x.509 identity erstellen. Alles leerlassen, bis auf den common name. Hier, den kompletten computernamen eintragen: xyz.domain.local.
Auf dem client:
mmc aufrufen, zertifikats-snapin hinzufügen, "lokaler Computer"
die "eigenen zertifikate" öffnen, und kucken, ob der PC schon ein zertifikat hat. Ist das nicht der Fall, dann, rechtsklick auf Zertifikate unter eigenen Zertifkaten, "neues Zertifikat anfordern". Typ: computer. Restliche Dialoge bestätigen.

Dann mit dem Draytek VPN client eine L2TPoverIPSec verbindung einrichten, bei der Suche nach dem zertifikat das root Zertifikat der Zertifizierungsstelle auswählen (nicht das zertifikat des computers!)

Fertig.

IPSec mit x509 ist natürlich nicht sicherer als IPSec, aber der Vorteil ist hier, dass das Zertifikat und der PC eine einheit sind. Weder kann der user einen anderen PC nehmen, und mal schnell VPN einrichten, noch kann jemand ohne den Computer zu stehlen, das Zertifikat mitnehmen, denn die Standard-einstellung ist, dass der private Schlüssel nicht exportierbar ist.
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45

Zurück zu Fernzugriff und Netzwerkkopplung

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste