5
Mutual Authentication mit Offline CA ?
Hallo Leute,
Ich bin seit mittlerweile 2 Wochen am verzweifeln und finde einfach keine Antwort.
Ich möchte einen Client und Server per VPN miteinander verbinden, soweit so gut.
Als Verbindungsmethode nehme ich TLS 1.2
Server und Client haben beide jeweils ein Zertifikat welches von meiner CA signiert wurde, jedoch ist meine root CA OFFLINE und sub CAs gibt es ebenfalls nicht.
Kann eine Mutual Authentication überhaupt so stattfinden, kann der Client selbst anhand des Serverzertifikats bestimmen, dass es sich um den richtigen Verbindungspartner handelt und umgekehrt ?
Ich bin seit mittlerweile 2 Wochen am verzweifeln und finde einfach keine Antwort.
Ich möchte einen Client und Server per VPN miteinander verbinden, soweit so gut.
Als Verbindungsmethode nehme ich TLS 1.2
Server und Client haben beide jeweils ein Zertifikat welches von meiner CA signiert wurde, jedoch ist meine root CA OFFLINE und sub CAs gibt es ebenfalls nicht.
Kann eine Mutual Authentication überhaupt so stattfinden, kann der Client selbst anhand des Serverzertifikats bestimmen, dass es sich um den richtigen Verbindungspartner handelt und umgekehrt ?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 308273
Url: https://administrator.de/contentid/308273
Printed on: April 19, 2024 at 19:04 o'clock
5 Comments
Latest comment
Moin,
kurze Antwort: ja.
Lange Antwort:
Dein Client ebenso wie dein Server muss eben das CA Zertifikat irgendwo rumliegen haben und diesem vertrauen. Im Normalfall legst du beim importieren des Client Zertifikats automatisch einen entsprechenden CA Eintrag an (zumindest unter Windows, was teilweise aber auch nur bedingt klug ist, aber die Story heben wir uns für wann anders auf). Von daher muss dein CA Zertifikat nirgendwo online bereit stehen. Nur dein Server muss möglichst die volle Zertifikats Chain senden ebenso wie dein Client.
Also musst du jetzt nur noch deinen Setup fixen, dass es klappt. Viel Erfolg dabei
Gruß
Chris
kurze Antwort: ja.
Lange Antwort:
Dein Client ebenso wie dein Server muss eben das CA Zertifikat irgendwo rumliegen haben und diesem vertrauen. Im Normalfall legst du beim importieren des Client Zertifikats automatisch einen entsprechenden CA Eintrag an (zumindest unter Windows, was teilweise aber auch nur bedingt klug ist, aber die Story heben wir uns für wann anders auf). Von daher muss dein CA Zertifikat nirgendwo online bereit stehen. Nur dein Server muss möglichst die volle Zertifikats Chain senden ebenso wie dein Client.
Also musst du jetzt nur noch deinen Setup fixen, dass es klappt. Viel Erfolg dabei
Gruß
Chris
1
Vielen Dank für die Antwort, hat mir ungelogen schonmal echt geholfen
Ich benutze auf meiner Offline CA XCA um Zertifikate auszustellen. Gibt es ein bestimmtes Format um die Certificate Chain zu exportieren ?
Und mit "Eintrag anlegen" meinst du einfach, dass ich das Zertifikat als Vertrauenswürdig auf dem Client ablege ?
Ich benutze auf meiner Offline CA XCA um Zertifikate auszustellen. Gibt es ein bestimmtes Format um die Certificate Chain zu exportieren ?
Und mit "Eintrag anlegen" meinst du einfach, dass ich das Zertifikat als Vertrauenswürdig auf dem Client ablege ?
Hi.
You should also take into account that if you added CRL-URLs to your certificates and your CA certificate, that you need to make this certificate revocation list available to the clients, otherwise it could be possible that a client will not connect to the server because it cannot retrieve the CRL from the URL given in the Advanced properties of the certificate (a SSTP-VPN is a good example for this).
Regards
You should also take into account that if you added CRL-URLs to your certificates and your CA certificate, that you need to make this certificate revocation list available to the clients, otherwise it could be possible that a client will not connect to the server because it cannot retrieve the CRL from the URL given in the Advanced properties of the certificate (a SSTP-VPN is a good example for this).
Regards
Thanks for the info.
It seems like the VPN software I'm using already has a function to revoke certificates even without the certificate authority. so mutual auth wont work after a revocation because the server knows about it
It seems like the VPN software I'm using already has a function to revoke certificates even without the certificate authority. so mutual auth wont work after a revocation because the server knows about it
Export your CA root certificate from XCA an import it on the client into the machine certificate store as trusted root certificate, so that the client trusts this CA. Then you should not have any problems using your VPN.
It seems like the VPN software I'm using
And this software is , tadaaa ???
