h4rdqu0r3
Goto Top

Mutual Authentication mit Offline CA ?

Hallo Leute,

Ich bin seit mittlerweile 2 Wochen am verzweifeln und finde einfach keine Antwort.

Ich möchte einen Client und Server per VPN miteinander verbinden, soweit so gut.

Als Verbindungsmethode nehme ich TLS 1.2

Server und Client haben beide jeweils ein Zertifikat welches von meiner CA signiert wurde, jedoch ist meine root CA OFFLINE und sub CAs gibt es ebenfalls nicht.

Kann eine Mutual Authentication überhaupt so stattfinden, kann der Client selbst anhand des Serverzertifikats bestimmen, dass es sich um den richtigen Verbindungspartner handelt und umgekehrt ?

Content-ID: 308273

Url: https://administrator.de/forum/mutual-authentication-mit-offline-ca-308273.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

Sheogorath
Sheogorath 26.06.2016 um 15:29:30 Uhr
Goto Top
Moin,

kurze Antwort: ja.

Lange Antwort:
Dein Client ebenso wie dein Server muss eben das CA Zertifikat irgendwo rumliegen haben und diesem vertrauen. Im Normalfall legst du beim importieren des Client Zertifikats automatisch einen entsprechenden CA Eintrag an (zumindest unter Windows, was teilweise aber auch nur bedingt klug ist, aber die Story heben wir uns für wann anders auf). Von daher muss dein CA Zertifikat nirgendwo online bereit stehen. Nur dein Server muss möglichst die volle Zertifikats Chain senden ebenso wie dein Client.

Also musst du jetzt nur noch deinen Setup fixen, dass es klappt. Viel Erfolg dabei face-smile

Gruß
Chris
H4rdQu0r3
H4rdQu0r3 26.06.2016 um 15:36:01 Uhr
Goto Top
Vielen Dank für die Antwort, hat mir ungelogen schonmal echt geholfen face-smile

Ich benutze auf meiner Offline CA XCA um Zertifikate auszustellen. Gibt es ein bestimmtes Format um die Certificate Chain zu exportieren ?

Und mit "Eintrag anlegen" meinst du einfach, dass ich das Zertifikat als Vertrauenswürdig auf dem Client ablege ?
129813
129813 26.06.2016 aktualisiert um 16:45:34 Uhr
Goto Top
Hi.
You should also take into account that if you added CRL-URLs to your certificates and your CA certificate, that you need to make this certificate revocation list available to the clients, otherwise it could be possible that a client will not connect to the server because it cannot retrieve the CRL from the URL given in the Advanced properties of the certificate (a SSTP-VPN is a good example for this).

Regards
H4rdQu0r3
H4rdQu0r3 26.06.2016 um 20:15:49 Uhr
Goto Top
Thanks for the info.

It seems like the VPN software I'm using already has a function to revoke certificates even without the certificate authority. so mutual auth wont work after a revocation because the server knows about it face-smile
129813
129813 26.06.2016 aktualisiert um 21:13:38 Uhr
Goto Top
Export your CA root certificate from XCA an import it on the client into the machine certificate store as trusted root certificate, so that the client trusts this CA. Then you should not have any problems using your VPN.

It seems like the VPN software I'm using
And this software is , tadaaa ???