osimac
Goto Top

VPN und eigene Zertifizierungssstelle

Hallo ich habe eine Verständnisfrage.

Ich habe in Virtual Labs eine Testumgebung eingerichtet. Ziel ist es mit einem Windows Client auf einen Server 2012 per VPN SSTP zuzugreifen. ich habe eine Stammzertifizierungsstelle und eine untergeordnete Enterprise Zertifizierungsstelle eingerichtet. Jetzt will ich per VPN SSTP auf die untergeordnete Zertifizierungsstelle zugreifen.

Jetzt meine Verständnisfrage. Ich habe die Stammzertifizierunggstelle eingerichtet. ok. Die Sub CA auf einem anderen Server 2012 eingerichtet. Die Stamm CA hat auch schon ein Zertifikat an die SUB CA ausgestellt..

Was ist jetzt der nächste Schritt. Muss ich das Zertifikat noch importieren? Exportieren? Wie bekommt man windows client nun das Zertifikiat??

Content-ID: 239614

Url: https://administrator.de/contentid/239614

Ausgedruckt am: 22.11.2024 um 16:11 Uhr

OsiMac
OsiMac 30.05.2014 um 19:27:03 Uhr
Goto Top
nun habe ich es soweit hinbekommen das ich per pptp auf die sub ca zugreifen kann. Aber nicht per SSTP. Finde den Fehler einfach nicht. Wäre nett wenn sich wer mal melden würde der sich mit server 2012 r2 auskennt und zertifizierungssstelen
Xaero1982
Xaero1982 30.05.2014 um 20:00:45 Uhr
Goto Top
OsiMac
OsiMac 30.05.2014 um 20:07:35 Uhr
Goto Top
danke aber hat mir nicht weitergeholfen.Keiner der sich mit Windows Server 2008 oder 2012 gut auskennt. Zertifizierungsstelle, Untergeordnete Zertifizierungsstelle und Windows Client ... VPN Verbindung per sstp herstellen und zertifizieren lassen
Xaero1982
Xaero1982 30.05.2014 um 20:14:54 Uhr
Goto Top
Und warum? Hast du es überhaupt richtig durchgelesen?
OsiMac
OsiMac 30.05.2014 um 20:17:06 Uhr
Goto Top
jaa klar...

Das Problem ist das dort nur eine Stammzertifizierungsstelle vorhanden ist. Ich habe aber eine Stammzertifizierungsstelle im Active Directory. Eine untergeordnete Zertifizierungsstelle und einen client. im AD ist ein user angelegt der nacher vom windows client per vpn sstp auf die untergeordnete Zertifizierungsstelle zugreifen will. Dort kommt aber immer die meldung das das zertifikat von der Stammzertifizierungsstelle abgelehnt worden ist
wiesi200
wiesi200 30.05.2014 um 20:34:21 Uhr
Goto Top
Hallo,

Warum du da eine untergeordnete Zertifizierungsstelle haben willst ist mir erst mal ein Rätsel.
Alles eine Domain, oder mit Subdomain?

Aber soweit ich das noch in Erinnerung habe, ist schon ne weile her und war nur ein 2008er, musst du das Zertifizierungsstellenzertifikat am Client bekannt machen, btw die kpl. Zertifizierungskette in deinem fall. Du bekommst es über den Browser auf der Seite https://server/certsrv. Installieren kannst du es manuell oder per GPO.

Wenn du dann das Benutzerzertifikat für die Anmeldung über die Management Console ansiehst sollte in der Zertifikatskette dann kein Fehler mehr angezeigt werden wenn du alles richtig gemacht hast.
OsiMac
OsiMac 30.05.2014 um 20:49:55 Uhr
Goto Top
Ich will eine untergeordnete Stelle haben weil man des normal so macht damit man die Stammzertifizierungsstelle offline nehmen kann und die untergeordnete auch zertifikate ausstellen kann. wie gesagt ist alles nur ein Test setup nichts für komerziellen Bereich.

Ja das mit dem Browser hatte ich auch geamcht aber es klappt einfach nicht...


setze gerade alles nochmal neu auf. wäre net wenn wer mir da schritt für schritt begleiten könnte. wegen Zertifizierung.. irgendwas klappt nicht oder ich stell es falsch ein
Dani
Dani 30.05.2014 um 21:40:54 Uhr
Goto Top
Guten Abend,
Ich will eine untergeordnete Stelle haben weil man des normal so macht damit man die Stammzertifizierungsstelle
Das machen nicht viele Unternehmen so. Der Aufwand muss im Verhältnis stehen. Seit es drum...

Dort kommt aber immer die meldung das das zertifikat von der Stammzertifizierungsstelle abgelehnt worden ist
Passt die CA-Kette im Zertifikat noch? etwas rot markiert?

Hier zwei Anleitungen:
http://marcowue.wordpress.com/2013/03/15/howto-sstp-vpn-verbindung-zu-w ...
http://marcowue.wordpress.com/2014/01/16/abhilfe-sstp-vpn-verbindung-fu ...


Grüße,
Dani
108012
108012 30.05.2014 um 21:54:37 Uhr
Goto Top
Hallo,

Was ist jetzt der nächste Schritt.
Tja ich würde ja schlicht und einfach sagen Du testest den ganzen Aufbau einmal durch.

Muss ich das Zertifikat noch importieren?
Nur eines, ich denke Du erstellst eine CA und dann erstellst Du ein RootCA Zertifikat
und dann Klientzertifikate.

Exportieren? Wie bekommt man windows client nun das Zertifikiat??
Je nach Aufbau und Möglichkeiten,
- per GPO
- Manuell

wie gesagt ist alles nur ein Test setup nichts für komerziellen Bereich.
Ok, das macht ja auch jeder mit sich selber ab, waser und warum er irgend
etwas testen möchte. Allerdings würde ich in einem MS Windows Server gestützten
Netzwerk eigentlich immer zwei Wege gehen wollen.
- Separater Radius Server für WLAN Klienten
- LDAP für für Kabel gebundene Klienten

Den Radius Server bzw. seine Konfiguration kann man dann auch ganz schnell mittels
NT Rad Ping "Tool" testen, ob alles wirklich richtig funktioniert wie man es erwartet
was natürlich in Deiner Situation ein echter zeitlicher Vorteil wäre.

Und auf der anderen Seite "haut" einem ein Radius Server zusammen mit Zertifikaten
und aktivierter Verschlüsselung mitunter einen richtigen "Schlag" auf bzw. in das Netzwerk.
So das es dann merklich (visuell) langsamer läuft.

weil man des normal so macht damit man die Stammzertifizierungsstelle offline nehmen kann
Auch hier hätte ich einen Einwand, wenn mal ein Zertifikat abhanden kommt, aus was für Gründen
auch immer, sollte man es sofort als gesperrt in der CRL (Certificate Revocation List) eintragen
und die sollte dann natürlich hauch "online" bzw. zu erreichen sein, und bei Deinem Setup muss
bzw. sollte dann natürlich hauch in beiden Zertifizierungsstellen das Zertifikat in der CRL gesperrt
werden. Das bedeutet dann aber auch doppelte Pflege für Dich.

Gruß
Dobby
Dani
Dani 30.05.2014 um 22:12:46 Uhr
Goto Top
@108012
Auch hier hätte ich einen Einwand, wenn mal ein Zertifikat abhanden kommt, aus was für Gründen auch immer, sollte man es sofort als gesperrt in der CRL (Certificate Revocation List) eintragen und die sollte dann natürlich hauch "online" bzw. zu erreichen sein, und bei Deinem Setup muss bzw. sollte dann natürlich hauch in beiden Zertifizierungsstellen das Zertifikat in der CRL gesperrt werden. Das bedeutet dann aber auch doppelte Pflege für Dich.
Der Klu an dem Design ist, dass du eben keine zwei CRL pflegen musst. Denn die RootCA kennt die Zertifikate der Sub-CA gar nicht und muss Sie auch nicht. Das Ausschalten der RootCA hat eher mit der Sicherheit zu tun. Somit kann deine RootCA nie kompromitiert werden.Was natürlich der maximale Schutz für sie ist.


Grüße,
Dani