3
Cisco 1800 VPN Zertifikate
Zur Zeit arbeiten wir mit Bintec Routern und VPNs die via Zertifikat identfiziert werden (Zertifikate mit openssl erzeugt und selbst signiert). Da für mich das Cisco Theme ziemlich neu und ich leider mit ausgiebiger Suche noch nichts gefunden habe: Kann ich diese Zertifikate auch in Cisco 1800 Router laden und für die VPN Authentifizierung nutzen? Die Beispiele dich ich auf der Cisco Seite gesehen habe nutzen all Pre-Shared-Keys.
Danke!
Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 109526
Url: https://administrator.de/contentid/109526
Printed on: April 25, 2024 at 07:04 o'clock
3 Comments
Latest comment
Hi Frank,
du brauchst auf jeden fall eine CA für die Router. Ob das nun ne Microsoft CA ist oder die von Cisco - sollte eigentlich egal sein. So wie du das bisher gemacht ist da nicht mehr. Denn die Router prüfen bei Verbindungsaufbau die Gültigkeit (Aussteller und Datum) des Zertifikats online bei der CA nach.
Aber glücklich wirst du da nicht...wir haben das im Labor einigermaßen stabil zum laufen bekommen. Du musst eben die CA wirklich hochverfügbar machen. Sollte Sie einmal ausfallen oder neu aufgesetzt werden hast du ne Menge Ärger. Wir haben hier auch schon öfters rüber gesprochen...bei entsprechender Routerzahl kann man fast 2-10 Leute einstellen, die wirklich nur CA verwalten und Zertifikate austellen. Wir haben unsere Router eben entsprechend mit ACL's auf dem WAN Interface versehen, entsprechende PreKeys genommen und bei der Tunnelkonfiguration hinterlegt, mit welchen Routern er diesen aufbauen darf - bisher gabs keine größeren Probleme.
Grüße,
Dani
du brauchst auf jeden fall eine CA für die Router. Ob das nun ne Microsoft CA ist oder die von Cisco - sollte eigentlich egal sein. So wie du das bisher gemacht ist da nicht mehr. Denn die Router prüfen bei Verbindungsaufbau die Gültigkeit (Aussteller und Datum) des Zertifikats online bei der CA nach.
Aber glücklich wirst du da nicht...wir haben das im Labor einigermaßen stabil zum laufen bekommen. Du musst eben die CA wirklich hochverfügbar machen. Sollte Sie einmal ausfallen oder neu aufgesetzt werden hast du ne Menge Ärger. Wir haben hier auch schon öfters rüber gesprochen...bei entsprechender Routerzahl kann man fast 2-10 Leute einstellen, die wirklich nur CA verwalten und Zertifikate austellen. Wir haben unsere Router eben entsprechend mit ACL's auf dem WAN Interface versehen, entsprechende PreKeys genommen und bei der Tunnelkonfiguration hinterlegt, mit welchen Routern er diesen aufbauen darf - bisher gabs keine größeren Probleme.
Grüße,
Dani
Das heist, ich kann in den Router kein self-signed Root CA hochladen, dass dann gecheckt wird und bin immer auf "offizielle" Zertifikate angewiesen?
Richtig...die CA muss nicht öffentlich sein aber eben eine Vertraute, da du wirklich das Zertifikat vom Router bei der CA anfodern musst.
Grüße,
Dani
Grüße,
Dani
