h4rdqu0r3
Goto Top

Asymmetrische Verschlüsselung mit XCA (Offline CA)

Hallo Leute,

Um mich kurz zu fassen.

Ich möchte:

-VPN einrichten mit OpenVPN (der professionellen Lösung mit Access Server)
-Eine Offline CA nutzen, welche per XCA Zertifikate ausstellt (Bedingungen egal, es muss aber XCA sein)
-Für den Pakettausch soll eine Asymmetrische Verschlüsselung benutzt werden.


Wenn ich per XCA meinen Server als Offline CA eintrage und damit ein Server und ein Clientzertifikat ausstelle, und auf Server beide Zertifikate kopiere und auf den Client nur das Clientzert kopiere
(bei windows per Certmgr, beim access Server per Webinterface), dann sollte das doch schon funktionieren, oder ?

TLS 1.3 sollte per asymmetrische Verschlüsselung ebenfalls ohne Probleme funktionieren, oder ?


Im Endeffekt habe ich ja nun Server und Client

Client ->zeigt Zertifikat->verschlüsselt Paket mit public key (vom Clientzertifikat)
Server->entschlüsselt mit private Key (Serverzertifikat)

Server->zeigt Zertifikate-> Verschlüsselt mit public key (vom Serverzertifikat)
Client->entschlüsselt mit private key (Clientzertifikat)


In der Praxis funktioniert mein Setup, aber ich habe das Gefühl, dass der Access Server auch ohne zu meckern bestimmte fehler "kompensiert"

Ich brauche einfach nochmal die bestätigung ob das so geht, oder nicht.

Vielen Dank schonmal

Content-ID: 307460

Url: https://administrator.de/forum/asymmetrische-verschluesselung-mit-xca-offline-ca-307460.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

beidermachtvongreyscull
beidermachtvongreyscull 17.06.2016 aktualisiert um 20:19:55 Uhr
Goto Top
Klar kannst Du ein eckigen Schwein durch ein rundes Loch schieben.
Der Sinn der CA ist doch die Bestätigung, dass das Zertifikat (noch) gültig ist.
Das würdest Du so aus meiner Sicht nicht hinbekommen, da die RCL nicht gepflegt und abrufbar ist.

Nur um die Vertrauensfrage auszuhebeln (bei selbstsignierten) würde ich es so nicht machen.
H4rdQu0r3
H4rdQu0r3 23.06.2016 um 09:45:01 Uhr
Goto Top
Es findet ja während dem Verbindungsaufbau zwischen Client und Server keine Authentifizierung zur Offline CA statt...(is ja auch offline :D)
sondern mein Access Server weiss "Hey, wenn der Client das Zertifikat hat und die Logindaten, dann darf er eine Verbindung zu mir aufbauen"

Der Client wiederrum weiss "Hey, wenn der Server das Zertifikat hat, dann darf ich eine Verbindung zu ihm aufbauen"

Ist die Verbindung dann überhaupt sicher, wenn ich Zertifikate nach RSA Standard ausstelle, welche erstmal ja nichts gemeinsam haben, ausser die Signatur der selben Offline Root CA ?