Windows ipsec vpn - sha2-kompatible smartcards verfügbar?
Hallo Forum,
ich nutze eine ipsec-basierte VPN-Einwahl (rasphone) ggü. unserer zentralen PFsense-Firewall mit Windows-Boardmitteln (ipsec/ikev2 mit x509-Benutzerzertifikat)
Dies klappt problemlos. Jetzt würde ich gerne das Benutzerzertifikat auf die Smartcard legen und zwecks 2FA mit Pin schützen. Generell kein Problem.
Jedoch unterstützt die PFsense (zurecht) nur SHA2 als Hash-Verfahren und ich finde keine Hardware, die das entweder unterstützt ,oder in Windows keinen Weg, das tatsächlich anzusprechen. Die typischen Crypto provider unter windows machen alle scheinbar intern nur SHA1.
Ich scheitere deshalb bei der VPN-Einwahl mit der Meldung: 0x80090331.
Eventlog zeigt: EapHostPeerGetResult: 2148074289
Hat das wer in o.g. Form im Einsatz und kann berichten? Was habe ich (erfolglos) probiert?
TPM2.0 Chip mit virtueller Smartcard und microsoft base smart card crypto provider CSN. Kann scheinbar nur SHA1.
Yubikey 5 NFC, kann zwar scheinbar SHA2 intern als hashing, aber der base smart card crypto provider von windows dazu nicht.
Nitrokey smart - kann zwar scheinbar SHA2, aber rapshone meldet, es liegt keine brauchbare smartcard vor.
Danke.
Stefan
ich nutze eine ipsec-basierte VPN-Einwahl (rasphone) ggü. unserer zentralen PFsense-Firewall mit Windows-Boardmitteln (ipsec/ikev2 mit x509-Benutzerzertifikat)
Dies klappt problemlos. Jetzt würde ich gerne das Benutzerzertifikat auf die Smartcard legen und zwecks 2FA mit Pin schützen. Generell kein Problem.
Jedoch unterstützt die PFsense (zurecht) nur SHA2 als Hash-Verfahren und ich finde keine Hardware, die das entweder unterstützt ,oder in Windows keinen Weg, das tatsächlich anzusprechen. Die typischen Crypto provider unter windows machen alle scheinbar intern nur SHA1.
Ich scheitere deshalb bei der VPN-Einwahl mit der Meldung: 0x80090331.
Eventlog zeigt: EapHostPeerGetResult: 2148074289
Hat das wer in o.g. Form im Einsatz und kann berichten? Was habe ich (erfolglos) probiert?
TPM2.0 Chip mit virtueller Smartcard und microsoft base smart card crypto provider CSN. Kann scheinbar nur SHA1.
Yubikey 5 NFC, kann zwar scheinbar SHA2 intern als hashing, aber der base smart card crypto provider von windows dazu nicht.
Nitrokey smart - kann zwar scheinbar SHA2, aber rapshone meldet, es liegt keine brauchbare smartcard vor.
Danke.
Stefan
Please also mark the comments that contributed to the solution of the article
Content-ID: 1333403364
Url: https://administrator.de/contentid/1333403364
Printed on: December 5, 2024 at 21:12 o'clock