Mutual Authentication mit Offline CA ?
Hallo Leute,
Ich bin seit mittlerweile 2 Wochen am verzweifeln und finde einfach keine Antwort.
Ich möchte einen Client und Server per VPN miteinander verbinden, soweit so gut.
Als Verbindungsmethode nehme ich TLS 1.2
Server und Client haben beide jeweils ein Zertifikat welches von meiner CA signiert wurde, jedoch ist meine root CA OFFLINE und sub CAs gibt es ebenfalls nicht.
Kann eine Mutual Authentication überhaupt so stattfinden, kann der Client selbst anhand des Serverzertifikats bestimmen, dass es sich um den richtigen Verbindungspartner handelt und umgekehrt ?
Ich bin seit mittlerweile 2 Wochen am verzweifeln und finde einfach keine Antwort.
Ich möchte einen Client und Server per VPN miteinander verbinden, soweit so gut.
Als Verbindungsmethode nehme ich TLS 1.2
Server und Client haben beide jeweils ein Zertifikat welches von meiner CA signiert wurde, jedoch ist meine root CA OFFLINE und sub CAs gibt es ebenfalls nicht.
Kann eine Mutual Authentication überhaupt so stattfinden, kann der Client selbst anhand des Serverzertifikats bestimmen, dass es sich um den richtigen Verbindungspartner handelt und umgekehrt ?
Please also mark the comments that contributed to the solution of the article
Content-Key: 308273
Url: https://administrator.de/contentid/308273
Printed on: April 28, 2024 at 02:04 o'clock
5 Comments
Latest comment
Moin,
kurze Antwort: ja.
Lange Antwort:
Dein Client ebenso wie dein Server muss eben das CA Zertifikat irgendwo rumliegen haben und diesem vertrauen. Im Normalfall legst du beim importieren des Client Zertifikats automatisch einen entsprechenden CA Eintrag an (zumindest unter Windows, was teilweise aber auch nur bedingt klug ist, aber die Story heben wir uns für wann anders auf). Von daher muss dein CA Zertifikat nirgendwo online bereit stehen. Nur dein Server muss möglichst die volle Zertifikats Chain senden ebenso wie dein Client.
Also musst du jetzt nur noch deinen Setup fixen, dass es klappt. Viel Erfolg dabei
Gruß
Chris
kurze Antwort: ja.
Lange Antwort:
Dein Client ebenso wie dein Server muss eben das CA Zertifikat irgendwo rumliegen haben und diesem vertrauen. Im Normalfall legst du beim importieren des Client Zertifikats automatisch einen entsprechenden CA Eintrag an (zumindest unter Windows, was teilweise aber auch nur bedingt klug ist, aber die Story heben wir uns für wann anders auf). Von daher muss dein CA Zertifikat nirgendwo online bereit stehen. Nur dein Server muss möglichst die volle Zertifikats Chain senden ebenso wie dein Client.
Also musst du jetzt nur noch deinen Setup fixen, dass es klappt. Viel Erfolg dabei
Gruß
Chris
Hi.
You should also take into account that if you added CRL-URLs to your certificates and your CA certificate, that you need to make this certificate revocation list available to the clients, otherwise it could be possible that a client will not connect to the server because it cannot retrieve the CRL from the URL given in the Advanced properties of the certificate (a SSTP-VPN is a good example for this).
Regards
You should also take into account that if you added CRL-URLs to your certificates and your CA certificate, that you need to make this certificate revocation list available to the clients, otherwise it could be possible that a client will not connect to the server because it cannot retrieve the CRL from the URL given in the Advanced properties of the certificate (a SSTP-VPN is a good example for this).
Regards
Export your CA root certificate from XCA an import it on the client into the machine certificate store as trusted root certificate, so that the client trusts this CA. Then you should not have any problems using your VPN.
It seems like the VPN software I'm using
And this software is , tadaaa ???