Mutual Authentication mit Offline CA ?
Hallo Leute,
Ich bin seit mittlerweile 2 Wochen am verzweifeln und finde einfach keine Antwort.
Ich möchte einen Client und Server per VPN miteinander verbinden, soweit so gut.
Als Verbindungsmethode nehme ich TLS 1.2
Server und Client haben beide jeweils ein Zertifikat welches von meiner CA signiert wurde, jedoch ist meine root CA OFFLINE und sub CAs gibt es ebenfalls nicht.
Kann eine Mutual Authentication überhaupt so stattfinden, kann der Client selbst anhand des Serverzertifikats bestimmen, dass es sich um den richtigen Verbindungspartner handelt und umgekehrt ?
Ich bin seit mittlerweile 2 Wochen am verzweifeln und finde einfach keine Antwort.
Ich möchte einen Client und Server per VPN miteinander verbinden, soweit so gut.
Als Verbindungsmethode nehme ich TLS 1.2
Server und Client haben beide jeweils ein Zertifikat welches von meiner CA signiert wurde, jedoch ist meine root CA OFFLINE und sub CAs gibt es ebenfalls nicht.
Kann eine Mutual Authentication überhaupt so stattfinden, kann der Client selbst anhand des Serverzertifikats bestimmen, dass es sich um den richtigen Verbindungspartner handelt und umgekehrt ?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 308273
Url: https://administrator.de/forum/mutual-authentication-mit-offline-ca-308273.html
Ausgedruckt am: 23.12.2024 um 10:12 Uhr
5 Kommentare
Neuester Kommentar
Moin,
kurze Antwort: ja.
Lange Antwort:
Dein Client ebenso wie dein Server muss eben das CA Zertifikat irgendwo rumliegen haben und diesem vertrauen. Im Normalfall legst du beim importieren des Client Zertifikats automatisch einen entsprechenden CA Eintrag an (zumindest unter Windows, was teilweise aber auch nur bedingt klug ist, aber die Story heben wir uns für wann anders auf). Von daher muss dein CA Zertifikat nirgendwo online bereit stehen. Nur dein Server muss möglichst die volle Zertifikats Chain senden ebenso wie dein Client.
Also musst du jetzt nur noch deinen Setup fixen, dass es klappt. Viel Erfolg dabei
Gruß
Chris
kurze Antwort: ja.
Lange Antwort:
Dein Client ebenso wie dein Server muss eben das CA Zertifikat irgendwo rumliegen haben und diesem vertrauen. Im Normalfall legst du beim importieren des Client Zertifikats automatisch einen entsprechenden CA Eintrag an (zumindest unter Windows, was teilweise aber auch nur bedingt klug ist, aber die Story heben wir uns für wann anders auf). Von daher muss dein CA Zertifikat nirgendwo online bereit stehen. Nur dein Server muss möglichst die volle Zertifikats Chain senden ebenso wie dein Client.
Also musst du jetzt nur noch deinen Setup fixen, dass es klappt. Viel Erfolg dabei
Gruß
Chris
Hi.
You should also take into account that if you added CRL-URLs to your certificates and your CA certificate, that you need to make this certificate revocation list available to the clients, otherwise it could be possible that a client will not connect to the server because it cannot retrieve the CRL from the URL given in the Advanced properties of the certificate (a SSTP-VPN is a good example for this).
Regards
You should also take into account that if you added CRL-URLs to your certificates and your CA certificate, that you need to make this certificate revocation list available to the clients, otherwise it could be possible that a client will not connect to the server because it cannot retrieve the CRL from the URL given in the Advanced properties of the certificate (a SSTP-VPN is a good example for this).
Regards
Export your CA root certificate from XCA an import it on the client into the machine certificate store as trusted root certificate, so that the client trusts this CA. Then you should not have any problems using your VPN.
It seems like the VPN software I'm using
And this software is , tadaaa ???