10
VPN und eigene Zertifizierungssstelle
Hallo ich habe eine Verständnisfrage.
Ich habe in Virtual Labs eine Testumgebung eingerichtet. Ziel ist es mit einem Windows Client auf einen Server 2012 per VPN SSTP zuzugreifen. ich habe eine Stammzertifizierungsstelle und eine untergeordnete Enterprise Zertifizierungsstelle eingerichtet. Jetzt will ich per VPN SSTP auf die untergeordnete Zertifizierungsstelle zugreifen.
Jetzt meine Verständnisfrage. Ich habe die Stammzertifizierunggstelle eingerichtet. ok. Die Sub CA auf einem anderen Server 2012 eingerichtet. Die Stamm CA hat auch schon ein Zertifikat an die SUB CA ausgestellt..
Was ist jetzt der nächste Schritt. Muss ich das Zertifikat noch importieren? Exportieren? Wie bekommt man windows client nun das Zertifikiat??
Ich habe in Virtual Labs eine Testumgebung eingerichtet. Ziel ist es mit einem Windows Client auf einen Server 2012 per VPN SSTP zuzugreifen. ich habe eine Stammzertifizierungsstelle und eine untergeordnete Enterprise Zertifizierungsstelle eingerichtet. Jetzt will ich per VPN SSTP auf die untergeordnete Zertifizierungsstelle zugreifen.
Jetzt meine Verständnisfrage. Ich habe die Stammzertifizierunggstelle eingerichtet. ok. Die Sub CA auf einem anderen Server 2012 eingerichtet. Die Stamm CA hat auch schon ein Zertifikat an die SUB CA ausgestellt..
Was ist jetzt der nächste Schritt. Muss ich das Zertifikat noch importieren? Exportieren? Wie bekommt man windows client nun das Zertifikiat??
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 239614
Url: https://administrator.de/contentid/239614
Printed on: April 19, 2024 at 04:04 o'clock
10 Comments
Latest comment
nun habe ich es soweit hinbekommen das ich per pptp auf die sub ca zugreifen kann. Aber nicht per SSTP. Finde den Fehler einfach nicht. Wäre nett wenn sich wer mal melden würde der sich mit server 2012 r2 auskennt und zertifizierungssstelen
http://www.fabian-niesen.de/betriebssysteme/windows/ws2012/sstp-unter-w ...
Versuchs mal damit...
Gruß
Versuchs mal damit...
Gruß
danke aber hat mir nicht weitergeholfen.Keiner der sich mit Windows Server 2008 oder 2012 gut auskennt. Zertifizierungsstelle, Untergeordnete Zertifizierungsstelle und Windows Client ... VPN Verbindung per sstp herstellen und zertifizieren lassen
Und warum? Hast du es überhaupt richtig durchgelesen?
jaa klar...
Das Problem ist das dort nur eine Stammzertifizierungsstelle vorhanden ist. Ich habe aber eine Stammzertifizierungsstelle im Active Directory. Eine untergeordnete Zertifizierungsstelle und einen client. im AD ist ein user angelegt der nacher vom windows client per vpn sstp auf die untergeordnete Zertifizierungsstelle zugreifen will. Dort kommt aber immer die meldung das das zertifikat von der Stammzertifizierungsstelle abgelehnt worden ist
Das Problem ist das dort nur eine Stammzertifizierungsstelle vorhanden ist. Ich habe aber eine Stammzertifizierungsstelle im Active Directory. Eine untergeordnete Zertifizierungsstelle und einen client. im AD ist ein user angelegt der nacher vom windows client per vpn sstp auf die untergeordnete Zertifizierungsstelle zugreifen will. Dort kommt aber immer die meldung das das zertifikat von der Stammzertifizierungsstelle abgelehnt worden ist
Hallo,
Warum du da eine untergeordnete Zertifizierungsstelle haben willst ist mir erst mal ein Rätsel.
Alles eine Domain, oder mit Subdomain?
Aber soweit ich das noch in Erinnerung habe, ist schon ne weile her und war nur ein 2008er, musst du das Zertifizierungsstellenzertifikat am Client bekannt machen, btw die kpl. Zertifizierungskette in deinem fall. Du bekommst es über den Browser auf der Seite https://server/certsrv. Installieren kannst du es manuell oder per GPO.
Wenn du dann das Benutzerzertifikat für die Anmeldung über die Management Console ansiehst sollte in der Zertifikatskette dann kein Fehler mehr angezeigt werden wenn du alles richtig gemacht hast.
Warum du da eine untergeordnete Zertifizierungsstelle haben willst ist mir erst mal ein Rätsel.
Alles eine Domain, oder mit Subdomain?
Aber soweit ich das noch in Erinnerung habe, ist schon ne weile her und war nur ein 2008er, musst du das Zertifizierungsstellenzertifikat am Client bekannt machen, btw die kpl. Zertifizierungskette in deinem fall. Du bekommst es über den Browser auf der Seite https://server/certsrv. Installieren kannst du es manuell oder per GPO.
Wenn du dann das Benutzerzertifikat für die Anmeldung über die Management Console ansiehst sollte in der Zertifikatskette dann kein Fehler mehr angezeigt werden wenn du alles richtig gemacht hast.
Ich will eine untergeordnete Stelle haben weil man des normal so macht damit man die Stammzertifizierungsstelle offline nehmen kann und die untergeordnete auch zertifikate ausstellen kann. wie gesagt ist alles nur ein Test setup nichts für komerziellen Bereich.
Ja das mit dem Browser hatte ich auch geamcht aber es klappt einfach nicht...
setze gerade alles nochmal neu auf. wäre net wenn wer mir da schritt für schritt begleiten könnte. wegen Zertifizierung.. irgendwas klappt nicht oder ich stell es falsch ein
Ja das mit dem Browser hatte ich auch geamcht aber es klappt einfach nicht...
setze gerade alles nochmal neu auf. wäre net wenn wer mir da schritt für schritt begleiten könnte. wegen Zertifizierung.. irgendwas klappt nicht oder ich stell es falsch ein
Guten Abend,
Hier zwei Anleitungen:
http://marcowue.wordpress.com/2013/03/15/howto-sstp-vpn-verbindung-zu-w ...
http://marcowue.wordpress.com/2014/01/16/abhilfe-sstp-vpn-verbindung-fu ...
Grüße,
Dani
Ich will eine untergeordnete Stelle haben weil man des normal so macht damit man die Stammzertifizierungsstelle
Das machen nicht viele Unternehmen so. Der Aufwand muss im Verhältnis stehen. Seit es drum...Dort kommt aber immer die meldung das das zertifikat von der Stammzertifizierungsstelle abgelehnt worden ist
Passt die CA-Kette im Zertifikat noch? etwas rot markiert?Hier zwei Anleitungen:
http://marcowue.wordpress.com/2013/03/15/howto-sstp-vpn-verbindung-zu-w ...
http://marcowue.wordpress.com/2014/01/16/abhilfe-sstp-vpn-verbindung-fu ...
Grüße,
Dani
Hallo,
und dann Klientzertifikate.
- per GPO
- Manuell
etwas testen möchte. Allerdings würde ich in einem MS Windows Server gestützten
Netzwerk eigentlich immer zwei Wege gehen wollen.
- Separater Radius Server für WLAN Klienten
- LDAP für für Kabel gebundene Klienten
Den Radius Server bzw. seine Konfiguration kann man dann auch ganz schnell mittels
NT Rad Ping "Tool" testen, ob alles wirklich richtig funktioniert wie man es erwartet
was natürlich in Deiner Situation ein echter zeitlicher Vorteil wäre.
Und auf der anderen Seite "haut" einem ein Radius Server zusammen mit Zertifikaten
und aktivierter Verschlüsselung mitunter einen richtigen "Schlag" auf bzw. in das Netzwerk.
So das es dann merklich (visuell) langsamer läuft.
auch immer, sollte man es sofort als gesperrt in der CRL (Certificate Revocation List) eintragen
und die sollte dann natürlich hauch "online" bzw. zu erreichen sein, und bei Deinem Setup muss
bzw. sollte dann natürlich hauch in beiden Zertifizierungsstellen das Zertifikat in der CRL gesperrt
werden. Das bedeutet dann aber auch doppelte Pflege für Dich.
Gruß
Dobby
Was ist jetzt der nächste Schritt.
Tja ich würde ja schlicht und einfach sagen Du testest den ganzen Aufbau einmal durch.Muss ich das Zertifikat noch importieren?
Nur eines, ich denke Du erstellst eine CA und dann erstellst Du ein RootCA Zertifikatund dann Klientzertifikate.
Exportieren? Wie bekommt man windows client nun das Zertifikiat??
Je nach Aufbau und Möglichkeiten,- per GPO
- Manuell
wie gesagt ist alles nur ein Test setup nichts für komerziellen Bereich.
Ok, das macht ja auch jeder mit sich selber ab, waser und warum er irgendetwas testen möchte. Allerdings würde ich in einem MS Windows Server gestützten
Netzwerk eigentlich immer zwei Wege gehen wollen.
- Separater Radius Server für WLAN Klienten
- LDAP für für Kabel gebundene Klienten
Den Radius Server bzw. seine Konfiguration kann man dann auch ganz schnell mittels
NT Rad Ping "Tool" testen, ob alles wirklich richtig funktioniert wie man es erwartet
was natürlich in Deiner Situation ein echter zeitlicher Vorteil wäre.
Und auf der anderen Seite "haut" einem ein Radius Server zusammen mit Zertifikaten
und aktivierter Verschlüsselung mitunter einen richtigen "Schlag" auf bzw. in das Netzwerk.
So das es dann merklich (visuell) langsamer läuft.
weil man des normal so macht damit man die Stammzertifizierungsstelle offline nehmen kann
Auch hier hätte ich einen Einwand, wenn mal ein Zertifikat abhanden kommt, aus was für Gründenauch immer, sollte man es sofort als gesperrt in der CRL (Certificate Revocation List) eintragen
und die sollte dann natürlich hauch "online" bzw. zu erreichen sein, und bei Deinem Setup muss
bzw. sollte dann natürlich hauch in beiden Zertifizierungsstellen das Zertifikat in der CRL gesperrt
werden. Das bedeutet dann aber auch doppelte Pflege für Dich.
Gruß
Dobby
@108012
Grüße,
Dani
Auch hier hätte ich einen Einwand, wenn mal ein Zertifikat abhanden kommt, aus was für Gründen auch immer, sollte man es sofort als gesperrt in der CRL (Certificate Revocation List) eintragen und die sollte dann natürlich hauch "online" bzw. zu erreichen sein, und bei Deinem Setup muss bzw. sollte dann natürlich hauch in beiden Zertifizierungsstellen das Zertifikat in der CRL gesperrt werden. Das bedeutet dann aber auch doppelte Pflege für Dich.
Der Klu an dem Design ist, dass du eben keine zwei CRL pflegen musst. Denn die RootCA kennt die Zertifikate der Sub-CA gar nicht und muss Sie auch nicht. Das Ausschalten der RootCA hat eher mit der Sicherheit zu tun. Somit kann deine RootCA nie kompromitiert werden.Was natürlich der maximale Schutz für sie ist.Grüße,
Dani
