3
Windows Always on VPN - Zertifikat-basierte Authentifizierung
Hallo Zusammen,
ich habe auf einem Windows Server 2016 eine "Always-On-VPN" Lösung von Mircosoft bereitgestellt und wollte diese gerne mal als Alternative zu unserer bestehenden VPN Lösung testen. Eine Anmeldung von extern mit PEAP - Benutzernamen + Kennwort (EAP-MSCHAP v2) oder mit einem Benutzerzertifikat funktioniert bereits.
Ich hätte es jedoch gerne so, dass der User nicht "öffline" am Gerät angemeldet wird, sondern schon vor der Eingabe der Benutzerdaten die VPN Verbindung aufgebaut wird.
Das wird vermutlich ziemlich schwer bzw. unmöglich mit der aktuellen Konfiguration.
Daher wollte ich gerne die bestehende Konfiguraiton von Benutzerzertifikat auf Computerzertifikat schwenken.
Aktuell bekomme ich allerdings die folgende Meldung:
Es konnte kein Zertifikat gefunden werden, das mit dem Extensible Authentication Protokoll verwendet werden kann.
Irgendwie wird das Computerzertifikat nicht erkannt.
Jemand eine Idee? Geht das so, wie ich mir das überlegt habe überhaupt?
ich habe auf einem Windows Server 2016 eine "Always-On-VPN" Lösung von Mircosoft bereitgestellt und wollte diese gerne mal als Alternative zu unserer bestehenden VPN Lösung testen. Eine Anmeldung von extern mit PEAP - Benutzernamen + Kennwort (EAP-MSCHAP v2) oder mit einem Benutzerzertifikat funktioniert bereits.
Ich hätte es jedoch gerne so, dass der User nicht "öffline" am Gerät angemeldet wird, sondern schon vor der Eingabe der Benutzerdaten die VPN Verbindung aufgebaut wird.
Das wird vermutlich ziemlich schwer bzw. unmöglich mit der aktuellen Konfiguration.
Daher wollte ich gerne die bestehende Konfiguraiton von Benutzerzertifikat auf Computerzertifikat schwenken.
Aktuell bekomme ich allerdings die folgende Meldung:
Es konnte kein Zertifikat gefunden werden, das mit dem Extensible Authentication Protokoll verwendet werden kann.
Irgendwie wird das Computerzertifikat nicht erkannt.
Jemand eine Idee? Geht das so, wie ich mir das überlegt habe überhaupt?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 420287
Url: https://administrator.de/contentid/420287
Ausgedruckt am: 20.11.2024 um 01:11 Uhr
3 Kommentare
Neuester Kommentar
Hi
du musst die passenden Zertifikatrequests für die Authentifizierung an deine AD CA senden und die dann einbinden. Alway-On-VPN sollte sich ohnehin bereits vor der Anmeldung des Benutzers verbinden, so wie es auch DirectAccess gemacht hat. Damit ersparst dir das Ausrollen der einzelnen Zertifikate (sofern die AD CA korrekt eingerichtet ist).
Evtl. musst an der CA noch eine passende Vorlage erstellen (siehe auch PKI & AOV https://www.petenetlive.com/KB/Article/0001399)
Wir bereiten gerade auch die Tests vor, da einige Programme mit dem IPv6 vom DAC Probleme hat
.
Gruß
@clSchak
du musst die passenden Zertifikatrequests für die Authentifizierung an deine AD CA senden und die dann einbinden. Alway-On-VPN sollte sich ohnehin bereits vor der Anmeldung des Benutzers verbinden, so wie es auch DirectAccess gemacht hat. Damit ersparst dir das Ausrollen der einzelnen Zertifikate (sofern die AD CA korrekt eingerichtet ist).
Evtl. musst an der CA noch eine passende Vorlage erstellen (siehe auch PKI & AOV https://www.petenetlive.com/KB/Article/0001399)
Wir bereiten gerade auch die Tests vor, da einige Programme mit dem IPv6 vom DAC Probleme hat
.Gruß
@clSchak
Hallo clSchak,
danke für den Post. Die Schritte wurden auf der Seite ja mal vorbildlich dokumentiert
Allerdings sieht es für mich so aus, dass er in der Anleitung die Verbindung vom Endgerät über ein User-Zertifikat aufbaut.
Das funktioniert ja bei mir bereits.
Nur wird die Verbindung dann ja erst nach dem Login aufgebaut, da vorher ja noch kein User-Zertifikat ausgewählt werden kann (ist ja keiner angemeldet). Daher wollte ich gerne auf das Computer-Zertifikat gehen, welches aber nicht mit der aktuellen Config gefunden werden kann. Hier ist bei mir aktuell der Knackpunkt.
danke für den Post. Die Schritte wurden auf der Seite ja mal vorbildlich dokumentiert
Allerdings sieht es für mich so aus, dass er in der Anleitung die Verbindung vom Endgerät über ein User-Zertifikat aufbaut.
Das funktioniert ja bei mir bereits.
Nur wird die Verbindung dann ja erst nach dem Login aufgebaut, da vorher ja noch kein User-Zertifikat ausgewählt werden kann (ist ja keiner angemeldet). Daher wollte ich gerne auf das Computer-Zertifikat gehen, welches aber nicht mit der aktuellen Config gefunden werden kann. Hier ist bei mir aktuell der Knackpunkt.
Hi,
Was du möchtest ist ein device Tunnel .
Versuchs mal damit.
https://www.einfaches-netzwerk.at/always-on-vpn-device-tunnel-konfigurie ...
Mit freundlichen Grüßen
Was du möchtest ist ein device Tunnel .
Versuchs mal damit.
https://www.einfaches-netzwerk.at/always-on-vpn-device-tunnel-konfigurie ...
Mit freundlichen Grüßen
