2
Asymmetrische Verschlüsselung mit XCA (Offline CA)
Hallo Leute,
Um mich kurz zu fassen.
Ich möchte:
-VPN einrichten mit OpenVPN (der professionellen Lösung mit Access Server)
-Eine Offline CA nutzen, welche per XCA Zertifikate ausstellt (Bedingungen egal, es muss aber XCA sein)
-Für den Pakettausch soll eine Asymmetrische Verschlüsselung benutzt werden.
Wenn ich per XCA meinen Server als Offline CA eintrage und damit ein Server und ein Clientzertifikat ausstelle, und auf Server beide Zertifikate kopiere und auf den Client nur das Clientzert kopiere
(bei windows per Certmgr, beim access Server per Webinterface), dann sollte das doch schon funktionieren, oder ?
TLS 1.3 sollte per asymmetrische Verschlüsselung ebenfalls ohne Probleme funktionieren, oder ?
Im Endeffekt habe ich ja nun Server und Client
Client ->zeigt Zertifikat->verschlüsselt Paket mit public key (vom Clientzertifikat)
Server->entschlüsselt mit private Key (Serverzertifikat)
Server->zeigt Zertifikate-> Verschlüsselt mit public key (vom Serverzertifikat)
Client->entschlüsselt mit private key (Clientzertifikat)
In der Praxis funktioniert mein Setup, aber ich habe das Gefühl, dass der Access Server auch ohne zu meckern bestimmte fehler "kompensiert"
Ich brauche einfach nochmal die bestätigung ob das so geht, oder nicht.
Vielen Dank schonmal
Um mich kurz zu fassen.
Ich möchte:
-VPN einrichten mit OpenVPN (der professionellen Lösung mit Access Server)
-Eine Offline CA nutzen, welche per XCA Zertifikate ausstellt (Bedingungen egal, es muss aber XCA sein)
-Für den Pakettausch soll eine Asymmetrische Verschlüsselung benutzt werden.
Wenn ich per XCA meinen Server als Offline CA eintrage und damit ein Server und ein Clientzertifikat ausstelle, und auf Server beide Zertifikate kopiere und auf den Client nur das Clientzert kopiere
(bei windows per Certmgr, beim access Server per Webinterface), dann sollte das doch schon funktionieren, oder ?
TLS 1.3 sollte per asymmetrische Verschlüsselung ebenfalls ohne Probleme funktionieren, oder ?
Im Endeffekt habe ich ja nun Server und Client
Client ->zeigt Zertifikat->verschlüsselt Paket mit public key (vom Clientzertifikat)
Server->entschlüsselt mit private Key (Serverzertifikat)
Server->zeigt Zertifikate-> Verschlüsselt mit public key (vom Serverzertifikat)
Client->entschlüsselt mit private key (Clientzertifikat)
In der Praxis funktioniert mein Setup, aber ich habe das Gefühl, dass der Access Server auch ohne zu meckern bestimmte fehler "kompensiert"
Ich brauche einfach nochmal die bestätigung ob das so geht, oder nicht.
Vielen Dank schonmal
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 307460
Url: https://administrator.de/contentid/307460
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
2 Kommentare
Neuester Kommentar
Klar kannst Du ein eckigen Schwein durch ein rundes Loch schieben.
Der Sinn der CA ist doch die Bestätigung, dass das Zertifikat (noch) gültig ist.
Das würdest Du so aus meiner Sicht nicht hinbekommen, da die RCL nicht gepflegt und abrufbar ist.
Nur um die Vertrauensfrage auszuhebeln (bei selbstsignierten) würde ich es so nicht machen.
Der Sinn der CA ist doch die Bestätigung, dass das Zertifikat (noch) gültig ist.
Das würdest Du so aus meiner Sicht nicht hinbekommen, da die RCL nicht gepflegt und abrufbar ist.
Nur um die Vertrauensfrage auszuhebeln (bei selbstsignierten) würde ich es so nicht machen.
1
Es findet ja während dem Verbindungsaufbau zwischen Client und Server keine Authentifizierung zur Offline CA statt...(is ja auch offline :D)
sondern mein Access Server weiss "Hey, wenn der Client das Zertifikat hat und die Logindaten, dann darf er eine Verbindung zu mir aufbauen"
Der Client wiederrum weiss "Hey, wenn der Server das Zertifikat hat, dann darf ich eine Verbindung zu ihm aufbauen"
Ist die Verbindung dann überhaupt sicher, wenn ich Zertifikate nach RSA Standard ausstelle, welche erstmal ja nichts gemeinsam haben, ausser die Signatur der selben Offline Root CA ?
sondern mein Access Server weiss "Hey, wenn der Client das Zertifikat hat und die Logindaten, dann darf er eine Verbindung zu mir aufbauen"
Der Client wiederrum weiss "Hey, wenn der Server das Zertifikat hat, dann darf ich eine Verbindung zu ihm aufbauen"
Ist die Verbindung dann überhaupt sicher, wenn ich Zertifikate nach RSA Standard ausstelle, welche erstmal ja nichts gemeinsam haben, ausser die Signatur der selben Offline Root CA ?
