2
Asymmetrische Verschlüsselung mit XCA (Offline CA)
Hallo Leute,
Um mich kurz zu fassen.
Ich möchte:
-VPN einrichten mit OpenVPN (der professionellen Lösung mit Access Server)
-Eine Offline CA nutzen, welche per XCA Zertifikate ausstellt (Bedingungen egal, es muss aber XCA sein)
-Für den Pakettausch soll eine Asymmetrische Verschlüsselung benutzt werden.
Wenn ich per XCA meinen Server als Offline CA eintrage und damit ein Server und ein Clientzertifikat ausstelle, und auf Server beide Zertifikate kopiere und auf den Client nur das Clientzert kopiere
(bei windows per Certmgr, beim access Server per Webinterface), dann sollte das doch schon funktionieren, oder ?
TLS 1.3 sollte per asymmetrische Verschlüsselung ebenfalls ohne Probleme funktionieren, oder ?
Im Endeffekt habe ich ja nun Server und Client
Client ->zeigt Zertifikat->verschlüsselt Paket mit public key (vom Clientzertifikat)
Server->entschlüsselt mit private Key (Serverzertifikat)
Server->zeigt Zertifikate-> Verschlüsselt mit public key (vom Serverzertifikat)
Client->entschlüsselt mit private key (Clientzertifikat)
In der Praxis funktioniert mein Setup, aber ich habe das Gefühl, dass der Access Server auch ohne zu meckern bestimmte fehler "kompensiert"
Ich brauche einfach nochmal die bestätigung ob das so geht, oder nicht.
Vielen Dank schonmal
Um mich kurz zu fassen.
Ich möchte:
-VPN einrichten mit OpenVPN (der professionellen Lösung mit Access Server)
-Eine Offline CA nutzen, welche per XCA Zertifikate ausstellt (Bedingungen egal, es muss aber XCA sein)
-Für den Pakettausch soll eine Asymmetrische Verschlüsselung benutzt werden.
Wenn ich per XCA meinen Server als Offline CA eintrage und damit ein Server und ein Clientzertifikat ausstelle, und auf Server beide Zertifikate kopiere und auf den Client nur das Clientzert kopiere
(bei windows per Certmgr, beim access Server per Webinterface), dann sollte das doch schon funktionieren, oder ?
TLS 1.3 sollte per asymmetrische Verschlüsselung ebenfalls ohne Probleme funktionieren, oder ?
Im Endeffekt habe ich ja nun Server und Client
Client ->zeigt Zertifikat->verschlüsselt Paket mit public key (vom Clientzertifikat)
Server->entschlüsselt mit private Key (Serverzertifikat)
Server->zeigt Zertifikate-> Verschlüsselt mit public key (vom Serverzertifikat)
Client->entschlüsselt mit private key (Clientzertifikat)
In der Praxis funktioniert mein Setup, aber ich habe das Gefühl, dass der Access Server auch ohne zu meckern bestimmte fehler "kompensiert"
Ich brauche einfach nochmal die bestätigung ob das so geht, oder nicht.
Vielen Dank schonmal
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 307460
Url: https://administrator.de/contentid/307460
Printed on: April 25, 2024 at 08:04 o'clock
2 Comments
Latest comment
Klar kannst Du ein eckigen Schwein durch ein rundes Loch schieben.
Der Sinn der CA ist doch die Bestätigung, dass das Zertifikat (noch) gültig ist.
Das würdest Du so aus meiner Sicht nicht hinbekommen, da die RCL nicht gepflegt und abrufbar ist.
Nur um die Vertrauensfrage auszuhebeln (bei selbstsignierten) würde ich es so nicht machen.
Der Sinn der CA ist doch die Bestätigung, dass das Zertifikat (noch) gültig ist.
Das würdest Du so aus meiner Sicht nicht hinbekommen, da die RCL nicht gepflegt und abrufbar ist.
Nur um die Vertrauensfrage auszuhebeln (bei selbstsignierten) würde ich es so nicht machen.
1
Es findet ja während dem Verbindungsaufbau zwischen Client und Server keine Authentifizierung zur Offline CA statt...(is ja auch offline :D)
sondern mein Access Server weiss "Hey, wenn der Client das Zertifikat hat und die Logindaten, dann darf er eine Verbindung zu mir aufbauen"
Der Client wiederrum weiss "Hey, wenn der Server das Zertifikat hat, dann darf ich eine Verbindung zu ihm aufbauen"
Ist die Verbindung dann überhaupt sicher, wenn ich Zertifikate nach RSA Standard ausstelle, welche erstmal ja nichts gemeinsam haben, ausser die Signatur der selben Offline Root CA ?
sondern mein Access Server weiss "Hey, wenn der Client das Zertifikat hat und die Logindaten, dann darf er eine Verbindung zu mir aufbauen"
Der Client wiederrum weiss "Hey, wenn der Server das Zertifikat hat, dann darf ich eine Verbindung zu ihm aufbauen"
Ist die Verbindung dann überhaupt sicher, wenn ich Zertifikate nach RSA Standard ausstelle, welche erstmal ja nichts gemeinsam haben, ausser die Signatur der selben Offline Root CA ?
