Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie komme ich an ein Zertifikat für IPSEC?

Frage Netzwerke

Mitglied: sysad

sysad (Level 3) - Jetzt verbinden

18.12.2008, aktualisiert 15:13 Uhr, 4051 Aufrufe, 4 Kommentare

Hallo,

bis jetzt habe ich IPSEC Tunnel immer mit PSK realisiert. Ein Kunde (W2003S mit TS, div XP und OSX als TS-Clients) hat die Idee dass das 'zu unsicher' ist und er fragt wegen 'Zertifikaten' an. Der 2003er ist bis jetzt nicht als Zertifizierungsinstanz eingerichtet.

Ist das tatsächlich unsicher, habe ich da was nicht mitbekommen?

Gäbe es eine Möglichkeit, Frendzertifikate einzusetzen oder soll ich auf dem Server einen Zertifikatserver einrichten?

Danke!
Mitglied: petenicker
18.12.2008 um 13:57 Uhr
Hallo,

ob du einen eigenen Zertifikatserver betreiben sollst, kann ich dir nicht sagen. Es spricht aber aus meiner Sicht nichts dagegen.

Sehr schönes HowTo zum einlesen.
Bitte warten ..
Mitglied: Rafiki
18.12.2008 um 15:13 Uhr
In der Regel hast du bei PSK einen key pro site to site VPN und einen key für n-Benutzer die ein RemoteVPN aufbauen. sollte nun ein Notebook verloren gehen muss man leider davon ausgehen das der PSK für die alle Mobilen Benutzer kompromittiert ist.
Der PSK für RemoteVPN würde auf der Firewall geändert und alle Notebooks müssen dann eine neue Konfiguration laden. Für eine Umgebung bis 10 Geräte mag das noch vertretbar sein, bei 1000 Vertriebsmitarbeitern geht ca. jede Woche ein Gerät verloren.

Das schöne an Zertifikaten ist, dass jeder (Firewall, Notebook, Benutzer) eines hat und sich damit "ausweisen" kann. Wenn ein Notebook verloren geht sperrt man nur das Zertifikat (Computerkonto). Die Firewall wird das Notebook nicht mehr reinlassen da das Zertifikat dann in der CRL Cert. Revoke List steht. Dafür ist es von Vorteil seine eigene CA-Certificate Authority bei sich im hause zu betreiben.
Aber bitte: Niemals nur eine CA betreiben, du musst immer zwei haben falls eine gerade mal nicht läuft. Zusätzlich haben viele eine Master-CA die das oberste Zertifikat der Firma besonders schützt. Diese CA ist häufig eine Offline CA, also im Regelbetrieb ausgeschaltet.

Die Microsoft Windows Technische Referenz gibt hierzu ausführliche Beispiele und Planungshilfen.
Bitte warten ..
Mitglied: sysad
18.12.2008 um 17:11 Uhr
@Rafiki:

Danke für die schnelle Info. Da das Kundenszenario eher klein ist (9 Arbeitsplätze) wollte ich mir (und denen auch...) eine PKI ersparen. Irgendwoher müsste man doch passende Zertifikate bekommen, so ähnlich wie bei den Banken die mit HBCI arbeiten und dafür dem Kunden ein Zertifikat auf Diskette oder Stick geben. CRL etc wäre dann auch kein Problem.
Bitte warten ..
Mitglied: Rafiki
18.12.2008 um 21:17 Uhr
Spontan fällt mir z.B. TC TrustCenter, immerhin als deutsche Firma, ein.
Ich war bisher kein Kunde von TC, habe aber auch keine schlechte Kritik gehört.
Unter Lösungen, Remote Access
http://www.trustcenter.de/solutions/remote_access.htm

update: vergiss das mit der deutschen Firma. Ist heute eigentlich alles global?
Wundert sich Rafiki
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Internet
gelöst IPSEC oder OVPN-Router für 100MBit-VDSL Homeoffice (14)

Frage von Der-Phil zum Thema Internet ...

Exchange Server
gelöst Outlook 2016 - Verschlüsselung mit Zertifikat schlägt fehl (13)

Frage von damogless zum Thema Exchange Server ...

Windows Installation
Wie erstelle ich ein kostenloses Code Sign Zertifikat? (6)

Frage von Yanmai zum Thema Windows Installation ...

LAN, WAN, Wireless
gelöst WLAN Authentifizierung über Zertifikat (3)

Frage von Phill93 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Google Android
gelöst Android-Handy versehentlich (dauerhaft) gesperrt? (20)

Frage von FA-jka zum Thema Google Android ...

Batch & Shell
gelöst Ordner und Datei Name gleich (BATCH) (12)

Frage von clragon zum Thema Batch & Shell ...

Windows Server
SBS 2011 Standard virtualisieren (11)

Frage von HeinrichM zum Thema Windows Server ...

DSL, VDSL
gelöst DSL 200m verlängern (11)

Frage von Angela44 zum Thema DSL, VDSL ...