4
Wie komme ich an ein Zertifikat für IPSEC?
Hallo,
bis jetzt habe ich IPSEC Tunnel immer mit PSK realisiert. Ein Kunde (W2003S mit TS, div XP und OSX als TS-Clients) hat die Idee dass das 'zu unsicher' ist und er fragt wegen 'Zertifikaten' an. Der 2003er ist bis jetzt nicht als Zertifizierungsinstanz eingerichtet.
Ist das tatsächlich unsicher, habe ich da was nicht mitbekommen?
Gäbe es eine Möglichkeit, Frendzertifikate einzusetzen oder soll ich auf dem Server einen Zertifikatserver einrichten?
Danke!
bis jetzt habe ich IPSEC Tunnel immer mit PSK realisiert. Ein Kunde (W2003S mit TS, div XP und OSX als TS-Clients) hat die Idee dass das 'zu unsicher' ist und er fragt wegen 'Zertifikaten' an. Der 2003er ist bis jetzt nicht als Zertifizierungsinstanz eingerichtet.
Ist das tatsächlich unsicher, habe ich da was nicht mitbekommen?
Gäbe es eine Möglichkeit, Frendzertifikate einzusetzen oder soll ich auf dem Server einen Zertifikatserver einrichten?
Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 104398
Url: https://administrator.de/contentid/104398
Printed on: April 25, 2024 at 13:04 o'clock
4 Comments
Latest comment
Hallo,
ob du einen eigenen Zertifikatserver betreiben sollst, kann ich dir nicht sagen. Es spricht aber aus meiner Sicht nichts dagegen.
Sehr schönes HowTo zum einlesen.
ob du einen eigenen Zertifikatserver betreiben sollst, kann ich dir nicht sagen. Es spricht aber aus meiner Sicht nichts dagegen.
Sehr schönes HowTo zum einlesen.
In der Regel hast du bei PSK einen key pro site to site VPN und einen key für n-Benutzer die ein RemoteVPN aufbauen. sollte nun ein Notebook verloren gehen muss man leider davon ausgehen das der PSK für die alle Mobilen Benutzer kompromittiert ist.
Der PSK für RemoteVPN würde auf der Firewall geändert und alle Notebooks müssen dann eine neue Konfiguration laden. Für eine Umgebung bis 10 Geräte mag das noch vertretbar sein, bei 1000 Vertriebsmitarbeitern geht ca. jede Woche ein Gerät verloren.
Das schöne an Zertifikaten ist, dass jeder (Firewall, Notebook, Benutzer) eines hat und sich damit "ausweisen" kann. Wenn ein Notebook verloren geht sperrt man nur das Zertifikat (Computerkonto). Die Firewall wird das Notebook nicht mehr reinlassen da das Zertifikat dann in der CRL Cert. Revoke List steht. Dafür ist es von Vorteil seine eigene CA-Certificate Authority bei sich im hause zu betreiben.
Aber bitte: Niemals nur eine CA betreiben, du musst immer zwei haben falls eine gerade mal nicht läuft. Zusätzlich haben viele eine Master-CA die das oberste Zertifikat der Firma besonders schützt. Diese CA ist häufig eine Offline CA, also im Regelbetrieb ausgeschaltet.
Die Microsoft Windows Technische Referenz gibt hierzu ausführliche Beispiele und Planungshilfen.
Der PSK für RemoteVPN würde auf der Firewall geändert und alle Notebooks müssen dann eine neue Konfiguration laden. Für eine Umgebung bis 10 Geräte mag das noch vertretbar sein, bei 1000 Vertriebsmitarbeitern geht ca. jede Woche ein Gerät verloren.
Das schöne an Zertifikaten ist, dass jeder (Firewall, Notebook, Benutzer) eines hat und sich damit "ausweisen" kann. Wenn ein Notebook verloren geht sperrt man nur das Zertifikat (Computerkonto). Die Firewall wird das Notebook nicht mehr reinlassen da das Zertifikat dann in der CRL Cert. Revoke List steht. Dafür ist es von Vorteil seine eigene CA-Certificate Authority bei sich im hause zu betreiben.
Aber bitte: Niemals nur eine CA betreiben, du musst immer zwei haben falls eine gerade mal nicht läuft. Zusätzlich haben viele eine Master-CA die das oberste Zertifikat der Firma besonders schützt. Diese CA ist häufig eine Offline CA, also im Regelbetrieb ausgeschaltet.
Die Microsoft Windows Technische Referenz gibt hierzu ausführliche Beispiele und Planungshilfen.
@Rafiki:
Danke für die schnelle Info. Da das Kundenszenario eher klein ist (9 Arbeitsplätze) wollte ich mir (und denen auch...) eine PKI ersparen. Irgendwoher müsste man doch passende Zertifikate bekommen, so ähnlich wie bei den Banken die mit HBCI arbeiten und dafür dem Kunden ein Zertifikat auf Diskette oder Stick geben. CRL etc wäre dann auch kein Problem.
Danke für die schnelle Info. Da das Kundenszenario eher klein ist (9 Arbeitsplätze) wollte ich mir (und denen auch...) eine PKI ersparen. Irgendwoher müsste man doch passende Zertifikate bekommen, so ähnlich wie bei den Banken die mit HBCI arbeiten und dafür dem Kunden ein Zertifikat auf Diskette oder Stick geben. CRL etc wäre dann auch kein Problem.
Spontan fällt mir z.B. TC TrustCenter, immerhin als deutsche Firma, ein.
Ich war bisher kein Kunde von TC, habe aber auch keine schlechte Kritik gehört.
Unter Lösungen, Remote Access
http://www.trustcenter.de/solutions/remote_access.htm
update: vergiss das mit der deutschen Firma. Ist heute eigentlich alles global?
Wundert sich Rafiki
Ich war bisher kein Kunde von TC, habe aber auch keine schlechte Kritik gehört.
Unter Lösungen, Remote Access
http://www.trustcenter.de/solutions/remote_access.htm
update: vergiss das mit der deutschen Firma. Ist heute eigentlich alles global?
Wundert sich Rafiki
