Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie komme ich an ein Zertifikat für IPSEC?

Frage Netzwerke

Mitglied: sysad

sysad (Level 3) - Jetzt verbinden

18.12.2008, aktualisiert 15:13 Uhr, 4049 Aufrufe, 4 Kommentare

Hallo,

bis jetzt habe ich IPSEC Tunnel immer mit PSK realisiert. Ein Kunde (W2003S mit TS, div XP und OSX als TS-Clients) hat die Idee dass das 'zu unsicher' ist und er fragt wegen 'Zertifikaten' an. Der 2003er ist bis jetzt nicht als Zertifizierungsinstanz eingerichtet.

Ist das tatsächlich unsicher, habe ich da was nicht mitbekommen?

Gäbe es eine Möglichkeit, Frendzertifikate einzusetzen oder soll ich auf dem Server einen Zertifikatserver einrichten?

Danke!
Mitglied: petenicker
18.12.2008 um 13:57 Uhr
Hallo,

ob du einen eigenen Zertifikatserver betreiben sollst, kann ich dir nicht sagen. Es spricht aber aus meiner Sicht nichts dagegen.

Sehr schönes HowTo zum einlesen.
Bitte warten ..
Mitglied: Rafiki
18.12.2008 um 15:13 Uhr
In der Regel hast du bei PSK einen key pro site to site VPN und einen key für n-Benutzer die ein RemoteVPN aufbauen. sollte nun ein Notebook verloren gehen muss man leider davon ausgehen das der PSK für die alle Mobilen Benutzer kompromittiert ist.
Der PSK für RemoteVPN würde auf der Firewall geändert und alle Notebooks müssen dann eine neue Konfiguration laden. Für eine Umgebung bis 10 Geräte mag das noch vertretbar sein, bei 1000 Vertriebsmitarbeitern geht ca. jede Woche ein Gerät verloren.

Das schöne an Zertifikaten ist, dass jeder (Firewall, Notebook, Benutzer) eines hat und sich damit "ausweisen" kann. Wenn ein Notebook verloren geht sperrt man nur das Zertifikat (Computerkonto). Die Firewall wird das Notebook nicht mehr reinlassen da das Zertifikat dann in der CRL Cert. Revoke List steht. Dafür ist es von Vorteil seine eigene CA-Certificate Authority bei sich im hause zu betreiben.
Aber bitte: Niemals nur eine CA betreiben, du musst immer zwei haben falls eine gerade mal nicht läuft. Zusätzlich haben viele eine Master-CA die das oberste Zertifikat der Firma besonders schützt. Diese CA ist häufig eine Offline CA, also im Regelbetrieb ausgeschaltet.

Die Microsoft Windows Technische Referenz gibt hierzu ausführliche Beispiele und Planungshilfen.
Bitte warten ..
Mitglied: sysad
18.12.2008 um 17:11 Uhr
@Rafiki:

Danke für die schnelle Info. Da das Kundenszenario eher klein ist (9 Arbeitsplätze) wollte ich mir (und denen auch...) eine PKI ersparen. Irgendwoher müsste man doch passende Zertifikate bekommen, so ähnlich wie bei den Banken die mit HBCI arbeiten und dafür dem Kunden ein Zertifikat auf Diskette oder Stick geben. CRL etc wäre dann auch kein Problem.
Bitte warten ..
Mitglied: Rafiki
18.12.2008 um 21:17 Uhr
Spontan fällt mir z.B. TC TrustCenter, immerhin als deutsche Firma, ein.
Ich war bisher kein Kunde von TC, habe aber auch keine schlechte Kritik gehört.
Unter Lösungen, Remote Access
http://www.trustcenter.de/solutions/remote_access.htm

update: vergiss das mit der deutschen Firma. Ist heute eigentlich alles global?
Wundert sich Rafiki
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Exchange Server
gelöst Exchange 2010 Activesync Problem bei IOS 10.1.1 und Wildcard SSL Zertifikat (2)

Frage von hasel123 zum Thema Exchange Server ...

Windows 10
gelöst RDP Verbindung zu Windows 10 Prof. mit Zertifikat sichern (2)

Frage von Windows11 zum Thema Windows 10 ...

Exchange Server
gelöst SBS2011 und öffentliches Zertifikat (1)

Frage von akae11 zum Thema Exchange Server ...

Windows Server
SBS 2011 - WEB-ZERTIFIKAT (12)

Frage von MiSt zum Thema Windows Server ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (12)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...