3
Windows Always on VPN - Zertifikat-basierte Authentifizierung
Hallo Zusammen,
ich habe auf einem Windows Server 2016 eine "Always-On-VPN" Lösung von Mircosoft bereitgestellt und wollte diese gerne mal als Alternative zu unserer bestehenden VPN Lösung testen. Eine Anmeldung von extern mit PEAP - Benutzernamen + Kennwort (EAP-MSCHAP v2) oder mit einem Benutzerzertifikat funktioniert bereits.
Ich hätte es jedoch gerne so, dass der User nicht "öffline" am Gerät angemeldet wird, sondern schon vor der Eingabe der Benutzerdaten die VPN Verbindung aufgebaut wird.
Das wird vermutlich ziemlich schwer bzw. unmöglich mit der aktuellen Konfiguration.
Daher wollte ich gerne die bestehende Konfiguraiton von Benutzerzertifikat auf Computerzertifikat schwenken.
Aktuell bekomme ich allerdings die folgende Meldung:
Es konnte kein Zertifikat gefunden werden, das mit dem Extensible Authentication Protokoll verwendet werden kann.
Irgendwie wird das Computerzertifikat nicht erkannt.
Jemand eine Idee? Geht das so, wie ich mir das überlegt habe überhaupt?
ich habe auf einem Windows Server 2016 eine "Always-On-VPN" Lösung von Mircosoft bereitgestellt und wollte diese gerne mal als Alternative zu unserer bestehenden VPN Lösung testen. Eine Anmeldung von extern mit PEAP - Benutzernamen + Kennwort (EAP-MSCHAP v2) oder mit einem Benutzerzertifikat funktioniert bereits.
Ich hätte es jedoch gerne so, dass der User nicht "öffline" am Gerät angemeldet wird, sondern schon vor der Eingabe der Benutzerdaten die VPN Verbindung aufgebaut wird.
Das wird vermutlich ziemlich schwer bzw. unmöglich mit der aktuellen Konfiguration.
Daher wollte ich gerne die bestehende Konfiguraiton von Benutzerzertifikat auf Computerzertifikat schwenken.
Aktuell bekomme ich allerdings die folgende Meldung:
Es konnte kein Zertifikat gefunden werden, das mit dem Extensible Authentication Protokoll verwendet werden kann.
Irgendwie wird das Computerzertifikat nicht erkannt.
Jemand eine Idee? Geht das so, wie ich mir das überlegt habe überhaupt?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 420287
Url: https://administrator.de/contentid/420287
Printed on: April 27, 2024 at 04:04 o'clock
3 Comments
Latest comment
Hi
du musst die passenden Zertifikatrequests für die Authentifizierung an deine AD CA senden und die dann einbinden. Alway-On-VPN sollte sich ohnehin bereits vor der Anmeldung des Benutzers verbinden, so wie es auch DirectAccess gemacht hat. Damit ersparst dir das Ausrollen der einzelnen Zertifikate (sofern die AD CA korrekt eingerichtet ist).
Evtl. musst an der CA noch eine passende Vorlage erstellen (siehe auch PKI & AOV https://www.petenetlive.com/KB/Article/0001399)
Wir bereiten gerade auch die Tests vor, da einige Programme mit dem IPv6 vom DAC Probleme hat
.
Gruß
@clSchak
du musst die passenden Zertifikatrequests für die Authentifizierung an deine AD CA senden und die dann einbinden. Alway-On-VPN sollte sich ohnehin bereits vor der Anmeldung des Benutzers verbinden, so wie es auch DirectAccess gemacht hat. Damit ersparst dir das Ausrollen der einzelnen Zertifikate (sofern die AD CA korrekt eingerichtet ist).
Evtl. musst an der CA noch eine passende Vorlage erstellen (siehe auch PKI & AOV https://www.petenetlive.com/KB/Article/0001399)
Wir bereiten gerade auch die Tests vor, da einige Programme mit dem IPv6 vom DAC Probleme hat
.Gruß
@clSchak
Hallo clSchak,
danke für den Post. Die Schritte wurden auf der Seite ja mal vorbildlich dokumentiert
Allerdings sieht es für mich so aus, dass er in der Anleitung die Verbindung vom Endgerät über ein User-Zertifikat aufbaut.
Das funktioniert ja bei mir bereits.
Nur wird die Verbindung dann ja erst nach dem Login aufgebaut, da vorher ja noch kein User-Zertifikat ausgewählt werden kann (ist ja keiner angemeldet). Daher wollte ich gerne auf das Computer-Zertifikat gehen, welches aber nicht mit der aktuellen Config gefunden werden kann. Hier ist bei mir aktuell der Knackpunkt.
danke für den Post. Die Schritte wurden auf der Seite ja mal vorbildlich dokumentiert
Allerdings sieht es für mich so aus, dass er in der Anleitung die Verbindung vom Endgerät über ein User-Zertifikat aufbaut.
Das funktioniert ja bei mir bereits.
Nur wird die Verbindung dann ja erst nach dem Login aufgebaut, da vorher ja noch kein User-Zertifikat ausgewählt werden kann (ist ja keiner angemeldet). Daher wollte ich gerne auf das Computer-Zertifikat gehen, welches aber nicht mit der aktuellen Config gefunden werden kann. Hier ist bei mir aktuell der Knackpunkt.
Hi,
Was du möchtest ist ein device Tunnel .
Versuchs mal damit.
https://www.einfaches-netzwerk.at/always-on-vpn-device-tunnel-konfigurie ...
Mit freundlichen Grüßen
Was du möchtest ist ein device Tunnel .
Versuchs mal damit.
https://www.einfaches-netzwerk.at/always-on-vpn-device-tunnel-konfigurie ...
Mit freundlichen Grüßen