Cisco 1800 VPN Zertifikate
Zur Zeit arbeiten wir mit Bintec Routern und VPNs die via Zertifikat identfiziert werden (Zertifikate mit openssl erzeugt und selbst signiert). Da für mich das Cisco Theme ziemlich neu und ich leider mit ausgiebiger Suche noch nichts gefunden habe: Kann ich diese Zertifikate auch in Cisco 1800 Router laden und für die VPN Authentifizierung nutzen? Die Beispiele dich ich auf der Cisco Seite gesehen habe nutzen all Pre-Shared-Keys.
Danke!
Danke!
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 109526
Url: https://administrator.de/forum/cisco-1800-vpn-zertifikate-109526.html
Ausgedruckt am: 29.04.2025 um 23:04 Uhr
3 Kommentare
Neuester Kommentar
Hi Frank,
du brauchst auf jeden fall eine CA für die Router. Ob das nun ne Microsoft CA ist oder die von Cisco - sollte eigentlich egal sein. So wie du das bisher gemacht ist da nicht mehr. Denn die Router prüfen bei Verbindungsaufbau die Gültigkeit (Aussteller und Datum) des Zertifikats online bei der CA nach.
Aber glücklich wirst du da nicht...wir haben das im Labor einigermaßen stabil zum laufen bekommen. Du musst eben die CA wirklich hochverfügbar machen. Sollte Sie einmal ausfallen oder neu aufgesetzt werden hast du ne Menge Ärger. Wir haben hier auch schon öfters rüber gesprochen...bei entsprechender Routerzahl kann man fast 2-10 Leute einstellen, die wirklich nur CA verwalten und Zertifikate austellen. Wir haben unsere Router eben entsprechend mit ACL's auf dem WAN Interface versehen, entsprechende PreKeys genommen und bei der Tunnelkonfiguration hinterlegt, mit welchen Routern er diesen aufbauen darf - bisher gabs keine größeren Probleme.
Grüße,
Dani
du brauchst auf jeden fall eine CA für die Router. Ob das nun ne Microsoft CA ist oder die von Cisco - sollte eigentlich egal sein. So wie du das bisher gemacht ist da nicht mehr. Denn die Router prüfen bei Verbindungsaufbau die Gültigkeit (Aussteller und Datum) des Zertifikats online bei der CA nach.
Aber glücklich wirst du da nicht...wir haben das im Labor einigermaßen stabil zum laufen bekommen. Du musst eben die CA wirklich hochverfügbar machen. Sollte Sie einmal ausfallen oder neu aufgesetzt werden hast du ne Menge Ärger. Wir haben hier auch schon öfters rüber gesprochen...bei entsprechender Routerzahl kann man fast 2-10 Leute einstellen, die wirklich nur CA verwalten und Zertifikate austellen. Wir haben unsere Router eben entsprechend mit ACL's auf dem WAN Interface versehen, entsprechende PreKeys genommen und bei der Tunnelkonfiguration hinterlegt, mit welchen Routern er diesen aufbauen darf - bisher gabs keine größeren Probleme.
Grüße,
Dani
Das heist, ich kann in den Router kein self-signed Root CA hochladen, dass dann gecheckt wird und bin immer auf "offizielle" Zertifikate angewiesen?
Richtig...die CA muss nicht öffentlich sein aber eben eine Vertraute, da du wirklich das Zertifikat vom Router bei der CA anfodern musst.
Grüße,
Dani
Grüße,
Dani
