siegmarb
Goto Top

Windows ipsec vpn - sha2-kompatible smartcards verfügbar?

Hallo Forum,

ich nutze eine ipsec-basierte VPN-Einwahl (rasphone) ggü. unserer zentralen PFsense-Firewall mit Windows-Boardmitteln (ipsec/ikev2 mit x509-Benutzerzertifikat)
Dies klappt problemlos. Jetzt würde ich gerne das Benutzerzertifikat auf die Smartcard legen und zwecks 2FA mit Pin schützen. Generell kein Problem.

Jedoch unterstützt die PFsense (zurecht) nur SHA2 als Hash-Verfahren und ich finde keine Hardware, die das entweder unterstützt ,oder in Windows keinen Weg, das tatsächlich anzusprechen. Die typischen Crypto provider unter windows machen alle scheinbar intern nur SHA1.

Ich scheitere deshalb bei der VPN-Einwahl mit der Meldung: 0x80090331.
Eventlog zeigt: EapHostPeerGetResult: 2148074289

Hat das wer in o.g. Form im Einsatz und kann berichten? Was habe ich (erfolglos) probiert?

TPM2.0 Chip mit virtueller Smartcard und microsoft base smart card crypto provider CSN. Kann scheinbar nur SHA1.
Yubikey 5 NFC, kann zwar scheinbar SHA2 intern als hashing, aber der base smart card crypto provider von windows dazu nicht.
Nitrokey smart - kann zwar scheinbar SHA2, aber rapshone meldet, es liegt keine brauchbare smartcard vor.

Danke.

Stefan

Content-ID: 1333403364

Url: https://administrator.de/forum/windows-ipsec-vpn-sha2-kompatible-smartcards-verfuegbar-1333403364.html

Ausgedruckt am: 26.12.2024 um 20:12 Uhr