sysad
Goto Top

Wie komme ich an ein Zertifikat für IPSEC?

Hallo,

bis jetzt habe ich IPSEC Tunnel immer mit PSK realisiert. Ein Kunde (W2003S mit TS, div XP und OSX als TS-Clients) hat die Idee dass das 'zu unsicher' ist und er fragt wegen 'Zertifikaten' an. Der 2003er ist bis jetzt nicht als Zertifizierungsinstanz eingerichtet.

Ist das tatsächlich unsicher, habe ich da was nicht mitbekommen?

Gäbe es eine Möglichkeit, Frendzertifikate einzusetzen oder soll ich auf dem Server einen Zertifikatserver einrichten?

Danke!

Content-ID: 104398

Url: https://administrator.de/contentid/104398

Ausgedruckt am: 22.11.2024 um 16:11 Uhr

petenicker
petenicker 18.12.2008 um 13:57:15 Uhr
Goto Top
Hallo,

ob du einen eigenen Zertifikatserver betreiben sollst, kann ich dir nicht sagen. Es spricht aber aus meiner Sicht nichts dagegen.

Sehr schönes HowTo zum einlesen.
Rafiki
Rafiki 18.12.2008 um 15:13:03 Uhr
Goto Top
In der Regel hast du bei PSK einen key pro site to site VPN und einen key für n-Benutzer die ein RemoteVPN aufbauen. sollte nun ein Notebook verloren gehen muss man leider davon ausgehen das der PSK für die alle Mobilen Benutzer kompromittiert ist.
Der PSK für RemoteVPN würde auf der Firewall geändert und alle Notebooks müssen dann eine neue Konfiguration laden. Für eine Umgebung bis 10 Geräte mag das noch vertretbar sein, bei 1000 Vertriebsmitarbeitern geht ca. jede Woche ein Gerät verloren.

Das schöne an Zertifikaten ist, dass jeder (Firewall, Notebook, Benutzer) eines hat und sich damit "ausweisen" kann. Wenn ein Notebook verloren geht sperrt man nur das Zertifikat (Computerkonto). Die Firewall wird das Notebook nicht mehr reinlassen da das Zertifikat dann in der CRL Cert. Revoke List steht. Dafür ist es von Vorteil seine eigene CA-Certificate Authority bei sich im hause zu betreiben.
Aber bitte: Niemals nur eine CA betreiben, du musst immer zwei haben falls eine gerade mal nicht läuft. Zusätzlich haben viele eine Master-CA die das oberste Zertifikat der Firma besonders schützt. Diese CA ist häufig eine Offline CA, also im Regelbetrieb ausgeschaltet.

Die Microsoft Windows Technische Referenz gibt hierzu ausführliche Beispiele und Planungshilfen.
sysad
sysad 18.12.2008 um 17:11:13 Uhr
Goto Top
@Rafiki:

Danke für die schnelle Info. Da das Kundenszenario eher klein ist (9 Arbeitsplätze) wollte ich mir (und denen auch...) eine PKI ersparen. Irgendwoher müsste man doch passende Zertifikate bekommen, so ähnlich wie bei den Banken die mit HBCI arbeiten und dafür dem Kunden ein Zertifikat auf Diskette oder Stick geben. CRL etc wäre dann auch kein Problem.
Rafiki
Rafiki 18.12.2008 um 21:17:23 Uhr
Goto Top
Spontan fällt mir z.B. TC TrustCenter, immerhin als deutsche Firma, ein.
Ich war bisher kein Kunde von TC, habe aber auch keine schlechte Kritik gehört.
Unter Lösungen, Remote Access
http://www.trustcenter.de/solutions/remote_access.htm

update: vergiss das mit der deutschen Firma. Ist heute eigentlich alles global?
Wundert sich Rafiki