Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie komme ich an ein Zertifikat für IPSEC?

Frage Netzwerke

Mitglied: sysad

sysad (Level 3) - Jetzt verbinden

18.12.2008, aktualisiert 15:13 Uhr, 4066 Aufrufe, 4 Kommentare

Hallo,

bis jetzt habe ich IPSEC Tunnel immer mit PSK realisiert. Ein Kunde (W2003S mit TS, div XP und OSX als TS-Clients) hat die Idee dass das 'zu unsicher' ist und er fragt wegen 'Zertifikaten' an. Der 2003er ist bis jetzt nicht als Zertifizierungsinstanz eingerichtet.

Ist das tatsächlich unsicher, habe ich da was nicht mitbekommen?

Gäbe es eine Möglichkeit, Frendzertifikate einzusetzen oder soll ich auf dem Server einen Zertifikatserver einrichten?

Danke!
Mitglied: petenicker
18.12.2008 um 13:57 Uhr
Hallo,

ob du einen eigenen Zertifikatserver betreiben sollst, kann ich dir nicht sagen. Es spricht aber aus meiner Sicht nichts dagegen.

Sehr schönes HowTo zum einlesen.
Bitte warten ..
Mitglied: Rafiki
18.12.2008 um 15:13 Uhr
In der Regel hast du bei PSK einen key pro site to site VPN und einen key für n-Benutzer die ein RemoteVPN aufbauen. sollte nun ein Notebook verloren gehen muss man leider davon ausgehen das der PSK für die alle Mobilen Benutzer kompromittiert ist.
Der PSK für RemoteVPN würde auf der Firewall geändert und alle Notebooks müssen dann eine neue Konfiguration laden. Für eine Umgebung bis 10 Geräte mag das noch vertretbar sein, bei 1000 Vertriebsmitarbeitern geht ca. jede Woche ein Gerät verloren.

Das schöne an Zertifikaten ist, dass jeder (Firewall, Notebook, Benutzer) eines hat und sich damit "ausweisen" kann. Wenn ein Notebook verloren geht sperrt man nur das Zertifikat (Computerkonto). Die Firewall wird das Notebook nicht mehr reinlassen da das Zertifikat dann in der CRL Cert. Revoke List steht. Dafür ist es von Vorteil seine eigene CA-Certificate Authority bei sich im hause zu betreiben.
Aber bitte: Niemals nur eine CA betreiben, du musst immer zwei haben falls eine gerade mal nicht läuft. Zusätzlich haben viele eine Master-CA die das oberste Zertifikat der Firma besonders schützt. Diese CA ist häufig eine Offline CA, also im Regelbetrieb ausgeschaltet.

Die Microsoft Windows Technische Referenz gibt hierzu ausführliche Beispiele und Planungshilfen.
Bitte warten ..
Mitglied: sysad
18.12.2008 um 17:11 Uhr
@Rafiki:

Danke für die schnelle Info. Da das Kundenszenario eher klein ist (9 Arbeitsplätze) wollte ich mir (und denen auch...) eine PKI ersparen. Irgendwoher müsste man doch passende Zertifikate bekommen, so ähnlich wie bei den Banken die mit HBCI arbeiten und dafür dem Kunden ein Zertifikat auf Diskette oder Stick geben. CRL etc wäre dann auch kein Problem.
Bitte warten ..
Mitglied: Rafiki
18.12.2008 um 21:17 Uhr
Spontan fällt mir z.B. TC TrustCenter, immerhin als deutsche Firma, ein.
Ich war bisher kein Kunde von TC, habe aber auch keine schlechte Kritik gehört.
Unter Lösungen, Remote Access
http://www.trustcenter.de/solutions/remote_access.htm

update: vergiss das mit der deutschen Firma. Ist heute eigentlich alles global?
Wundert sich Rafiki
Bitte warten ..
Ähnliche Inhalte
Netzwerke
VPN-Verbindung Server 2016 und Win10 (IPSec mit Zertifikat) Fehler (5)

Frage von PN-Schrauber zum Thema Netzwerke ...

Verschlüsselung & Zertifikate
Root Zertifikat in Firefox importieren (6)

Frage von DarkScabs zum Thema Verschlüsselung & Zertifikate ...

Verschlüsselung & Zertifikate
gelöst SSL Zertifikat wegen Kosten auf IP beziehen (9)

Frage von PharIT zum Thema Verschlüsselung & Zertifikate ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
PC stellt nach dem Bios ab (18)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...

iOS
16 iPads zentrall verwalten (18)

Frage von simonlohr zum Thema iOS ...

Viren und Trojaner
Ransomware .nm4 (15)

Frage von Zyklo92 zum Thema Viren und Trojaner ...

Windows 7
Freeware MSI Tool (13)

Frage von uridium69 zum Thema Windows 7 ...