Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mutual Authentication mit Offline CA ?

Mitglied: H4rdQu0r3

H4rdQu0r3 (Level 1) - Jetzt verbinden

26.06.2016 um 15:20 Uhr, 533 Aufrufe, 5 Kommentare, 1 Danke

Hallo Leute,

Ich bin seit mittlerweile 2 Wochen am verzweifeln und finde einfach keine Antwort.

Ich möchte einen Client und Server per VPN miteinander verbinden, soweit so gut.

Als Verbindungsmethode nehme ich TLS 1.2

Server und Client haben beide jeweils ein Zertifikat welches von meiner CA signiert wurde, jedoch ist meine root CA OFFLINE und sub CAs gibt es ebenfalls nicht.

Kann eine Mutual Authentication überhaupt so stattfinden, kann der Client selbst anhand des Serverzertifikats bestimmen, dass es sich um den richtigen Verbindungspartner handelt und umgekehrt ?

Mitglied: Sheogorath
26.06.2016 um 15:29 Uhr
Moin,

kurze Antwort: ja.

Lange Antwort:
Dein Client ebenso wie dein Server muss eben das CA Zertifikat irgendwo rumliegen haben und diesem vertrauen. Im Normalfall legst du beim importieren des Client Zertifikats automatisch einen entsprechenden CA Eintrag an (zumindest unter Windows, was teilweise aber auch nur bedingt klug ist, aber die Story heben wir uns für wann anders auf). Von daher muss dein CA Zertifikat nirgendwo online bereit stehen. Nur dein Server muss möglichst die volle Zertifikats Chain senden ebenso wie dein Client.

Also musst du jetzt nur noch deinen Setup fixen, dass es klappt. Viel Erfolg dabei

Gruß
Chris
Bitte warten ..
Mitglied: H4rdQu0r3
26.06.2016 um 15:36 Uhr
Vielen Dank für die Antwort, hat mir ungelogen schonmal echt geholfen

Ich benutze auf meiner Offline CA XCA um Zertifikate auszustellen. Gibt es ein bestimmtes Format um die Certificate Chain zu exportieren ?

Und mit "Eintrag anlegen" meinst du einfach, dass ich das Zertifikat als Vertrauenswürdig auf dem Client ablege ?
Bitte warten ..
Mitglied: 129813
26.06.2016, aktualisiert um 16:45 Uhr
Hi.
You should also take into account that if you added CRL-URLs to your certificates and your CA certificate, that you need to make this certificate revocation list available to the clients, otherwise it could be possible that a client will not connect to the server because it cannot retrieve the CRL from the URL given in the Advanced properties of the certificate (a SSTP-VPN is a good example for this).

Regards
Bitte warten ..
Mitglied: H4rdQu0r3
26.06.2016 um 20:15 Uhr
Thanks for the info.

It seems like the VPN software I'm using already has a function to revoke certificates even without the certificate authority. so mutual auth wont work after a revocation because the server knows about it
Bitte warten ..
Mitglied: 129813
26.06.2016, aktualisiert um 21:13 Uhr
Export your CA root certificate from XCA an import it on the client into the machine certificate store as trusted root certificate, so that the client trusts this CA. Then you should not have any problems using your VPN.

It seems like the VPN software I'm using
And this software is , tadaaa ???
Bitte warten ..
Ähnliche Inhalte
Informationsdienste

Webdav IIS 7.5 auf Server 2008 : Fehler beim Verbinden: System error 1397 has occurred. Mutual Authentication failed

Frage von MeinGottWalterInformationsdienste

webdav IIS 7.5 auf Server 2008 : Fehler beim Verbinden: System error 1397 has occurred. Mutual Authentication failed Hallo ...

Linux Netzwerk

Squid mit Kerberos Authentication und LDAP Groups

Frage von joe2017Linux Netzwerk1 Kommentar

Hallo zusammen, ich kämpfe jetzt schon seit zwei Wochen mit meinem Squid Proxy Server und komme einfach nicht weiter. ...

Apache Server

Plesk 12.5 Ubuntu 14.04 Probleme mit http authentication

Frage von BrisicApache Server

Hallo zusammen, nach mehreren Tagen testen und machen, bin ich mit meinem Latein am Ende. Ich betreibe einen Magento ...

Firewall

Reverse Proxy mit pre Authentication per LDAP Users

Frage von helldunkelFirewall2 Kommentare

Hi, ich bin auf der Suche nach einer Möglichkeit einen Reverse Proxy mit pre auth per LDAP/AD Abgleich zu ...

Neue Wissensbeiträge
Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 2 TagenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 2 TagenExchange Server3 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Schulung & Training

Humble Book Bundle: Network and Security Certification 2.0

Tipp von NetzwerkDude vor 2 TagenSchulung & Training

Abend, bei HumbleBundle gibts mal wider ein schönes Paket e-books: sind verschiedene Zertifizierungen wie MCSA, CCNA, CompTIA etc., für ...

Voice over IP

Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie

Erfahrungsbericht von NixVerstehen vor 6 TagenVoice over IP10 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...

Heiß diskutierte Inhalte
VB for Applications
Euro-Zeichen in jedem neu erstellten Brief mit Word automatisch entfernen
gelöst Frage von imebroVB for Applications23 Kommentare

Hallo, ich habe ein Problem mit Word, bzw. mit dem €-Zeichen, welches bei Erstellung eines Word-Briefes automatisch eingesetzt wird. ...

Batch & Shell
Regedit eintrad ändern als Admin
Frage von cyberworm83Batch & Shell19 Kommentare

Hallo zusammen, ich bin derzeit als Rollout Techniker unterwegs und muss täglich bei zig Rechnern einen Registry Einträg ändern ...

Visual Studio
Prüfen, ob Programm schon disposed wurde
Frage von MarcoBornVisual Studio17 Kommentare

Hallo Forum, ich habe in VB.NET ein Programm geschrieben, welches Word startet und dort Daten ausliest. Obwohl ich die ...

LAN, WAN, Wireless
Gebäude mit LWL-Anschlüssen ausstatten - VorNachteile?
Frage von staybbLAN, WAN, Wireless17 Kommentare

Hallo zusammen, es gibt ja mittlerweile viele Firmen die nicht nur ihre Backbones mit FibreChannel anbinden sondern auch direkt ...