Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke

VPN und eigene Zertifizierungssstelle

Mitglied: OsiMac

OsiMac (Level 1) - Jetzt verbinden

30.05.2014 um 17:20 Uhr, 1883 Aufrufe, 10 Kommentare

Hallo ich habe eine Verständnisfrage.

Ich habe in Virtual Labs eine Testumgebung eingerichtet. Ziel ist es mit einem Windows Client auf einen Server 2012 per VPN SSTP zuzugreifen. ich habe eine Stammzertifizierungsstelle und eine untergeordnete Enterprise Zertifizierungsstelle eingerichtet. Jetzt will ich per VPN SSTP auf die untergeordnete Zertifizierungsstelle zugreifen.

Jetzt meine Verständnisfrage. Ich habe die Stammzertifizierunggstelle eingerichtet. ok. Die Sub CA auf einem anderen Server 2012 eingerichtet. Die Stamm CA hat auch schon ein Zertifikat an die SUB CA ausgestellt..

Was ist jetzt der nächste Schritt. Muss ich das Zertifikat noch importieren? Exportieren? Wie bekommt man windows client nun das Zertifikiat??
Mitglied: OsiMac
30.05.2014 um 19:27 Uhr
nun habe ich es soweit hinbekommen das ich per pptp auf die sub ca zugreifen kann. Aber nicht per SSTP. Finde den Fehler einfach nicht. Wäre nett wenn sich wer mal melden würde der sich mit server 2012 r2 auskennt und zertifizierungssstelen
Bitte warten ..
Mitglied: OsiMac
30.05.2014 um 20:07 Uhr
danke aber hat mir nicht weitergeholfen.Keiner der sich mit Windows Server 2008 oder 2012 gut auskennt. Zertifizierungsstelle, Untergeordnete Zertifizierungsstelle und Windows Client ... VPN Verbindung per sstp herstellen und zertifizieren lassen
Bitte warten ..
Mitglied: Xaero1982
30.05.2014 um 20:14 Uhr
Und warum? Hast du es überhaupt richtig durchgelesen?
Bitte warten ..
Mitglied: OsiMac
30.05.2014 um 20:17 Uhr
jaa klar...

Das Problem ist das dort nur eine Stammzertifizierungsstelle vorhanden ist. Ich habe aber eine Stammzertifizierungsstelle im Active Directory. Eine untergeordnete Zertifizierungsstelle und einen client. im AD ist ein user angelegt der nacher vom windows client per vpn sstp auf die untergeordnete Zertifizierungsstelle zugreifen will. Dort kommt aber immer die meldung das das zertifikat von der Stammzertifizierungsstelle abgelehnt worden ist
Bitte warten ..
Mitglied: wiesi200
30.05.2014 um 20:34 Uhr
Hallo,

Warum du da eine untergeordnete Zertifizierungsstelle haben willst ist mir erst mal ein Rätsel.
Alles eine Domain, oder mit Subdomain?

Aber soweit ich das noch in Erinnerung habe, ist schon ne weile her und war nur ein 2008er, musst du das Zertifizierungsstellenzertifikat am Client bekannt machen, btw die kpl. Zertifizierungskette in deinem fall. Du bekommst es über den Browser auf der Seite https://server/certsrv. Installieren kannst du es manuell oder per GPO.

Wenn du dann das Benutzerzertifikat für die Anmeldung über die Management Console ansiehst sollte in der Zertifikatskette dann kein Fehler mehr angezeigt werden wenn du alles richtig gemacht hast.
Bitte warten ..
Mitglied: OsiMac
30.05.2014 um 20:49 Uhr
Ich will eine untergeordnete Stelle haben weil man des normal so macht damit man die Stammzertifizierungsstelle offline nehmen kann und die untergeordnete auch zertifikate ausstellen kann. wie gesagt ist alles nur ein Test setup nichts für komerziellen Bereich.

Ja das mit dem Browser hatte ich auch geamcht aber es klappt einfach nicht...


setze gerade alles nochmal neu auf. wäre net wenn wer mir da schritt für schritt begleiten könnte. wegen Zertifizierung.. irgendwas klappt nicht oder ich stell es falsch ein
Bitte warten ..
Mitglied: Dani
30.05.2014 um 21:40 Uhr
Guten Abend,
Ich will eine untergeordnete Stelle haben weil man des normal so macht damit man die Stammzertifizierungsstelle
Das machen nicht viele Unternehmen so. Der Aufwand muss im Verhältnis stehen. Seit es drum...

Dort kommt aber immer die meldung das das zertifikat von der Stammzertifizierungsstelle abgelehnt worden ist
Passt die CA-Kette im Zertifikat noch? etwas rot markiert?

Hier zwei Anleitungen:
http://marcowue.wordpress.com/2013/03/15/howto-sstp-vpn-verbindung-zu-w ...
http://marcowue.wordpress.com/2014/01/16/abhilfe-sstp-vpn-verbindung-fu ...


Grüße,
Dani
Bitte warten ..
Mitglied: 108012
30.05.2014 um 21:54 Uhr
Hallo,

Was ist jetzt der nächste Schritt.
Tja ich würde ja schlicht und einfach sagen Du testest den ganzen Aufbau einmal durch.

Muss ich das Zertifikat noch importieren?
Nur eines, ich denke Du erstellst eine CA und dann erstellst Du ein RootCA Zertifikat
und dann Klientzertifikate.

Exportieren? Wie bekommt man windows client nun das Zertifikiat??
Je nach Aufbau und Möglichkeiten,
- per GPO
- Manuell

wie gesagt ist alles nur ein Test setup nichts für komerziellen Bereich.
Ok, das macht ja auch jeder mit sich selber ab, waser und warum er irgend
etwas testen möchte. Allerdings würde ich in einem MS Windows Server gestützten
Netzwerk eigentlich immer zwei Wege gehen wollen.
- Separater Radius Server für WLAN Klienten
- LDAP für für Kabel gebundene Klienten

Den Radius Server bzw. seine Konfiguration kann man dann auch ganz schnell mittels
NT Rad Ping "Tool" testen, ob alles wirklich richtig funktioniert wie man es erwartet
was natürlich in Deiner Situation ein echter zeitlicher Vorteil wäre.

Und auf der anderen Seite "haut" einem ein Radius Server zusammen mit Zertifikaten
und aktivierter Verschlüsselung mitunter einen richtigen "Schlag" auf bzw. in das Netzwerk.
So das es dann merklich (visuell) langsamer läuft.

weil man des normal so macht damit man die Stammzertifizierungsstelle offline nehmen kann
Auch hier hätte ich einen Einwand, wenn mal ein Zertifikat abhanden kommt, aus was für Gründen
auch immer, sollte man es sofort als gesperrt in der CRL (Certificate Revocation List) eintragen
und die sollte dann natürlich hauch "online" bzw. zu erreichen sein, und bei Deinem Setup muss
bzw. sollte dann natürlich hauch in beiden Zertifizierungsstellen das Zertifikat in der CRL gesperrt
werden. Das bedeutet dann aber auch doppelte Pflege für Dich.

Gruß
Dobby
Bitte warten ..
Mitglied: Dani
30.05.2014 um 22:12 Uhr
@108012
Auch hier hätte ich einen Einwand, wenn mal ein Zertifikat abhanden kommt, aus was für Gründen auch immer, sollte man es sofort als gesperrt in der CRL (Certificate Revocation List) eintragen und die sollte dann natürlich hauch "online" bzw. zu erreichen sein, und bei Deinem Setup muss bzw. sollte dann natürlich hauch in beiden Zertifizierungsstellen das Zertifikat in der CRL gesperrt werden. Das bedeutet dann aber auch doppelte Pflege für Dich.
Der Klu an dem Design ist, dass du eben keine zwei CRL pflegen musst. Denn die RootCA kennt die Zertifikate der Sub-CA gar nicht und muss Sie auch nicht. Das Ausschalten der RootCA hat eher mit der Sicherheit zu tun. Somit kann deine RootCA nie kompromitiert werden.Was natürlich der maximale Schutz für sie ist.


Grüße,
Dani
Bitte warten ..
Ähnliche Inhalte
Linux Netzwerk
Eigener VPN Dienst
Frage von unique24Linux Netzwerk18 Kommentare

Hallo, kennt jemand für Linux eine kostenlose VPN Lösung, wo sich Linux Rechner auf meinen Online Server verbinden und ...

Router & Routing
Eigener VPN Server
Frage von weisseradlerRouter & Routing11 Kommentare

Hallo zusammen, in den letzten Tagen habe ich mir unzählige Anleitungen und Video zu Thema eigener VPN/Server angesehen bzw. ...

Router & Routing
VPN Verbindung zum eigenen Server Langsam?!
gelöst Frage von Motte990Router & Routing12 Kommentare

Guten Morgen liebe Leute, Folgendes Problem habe ich , wen ich eine Verbindung zu unserem Server heratelle klappt das ...

Windows Netzwerk
Eigenen Internetzugang trotz VPN Verbindung weiterbenutzen
Frage von arlecchinoWindows Netzwerk1 Kommentar

Hallo Kollegen, ich bin neu hier und habe gleich eine Frage an euch - primär von privater Natur aber ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 10 StundenLinux1 Kommentar

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit24 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...

Netzwerke
Packet loss bei "InternetLeitungsvollauslastung"
gelöst Frage von Freak-On-SiliconNetzwerke17 Kommentare

Servus; Ja der Titel klingt komisch, is aber so. Wenn die Internetleitung voll ausgelastet ist, hab ich extreme packet ...

Windows 10
Automatische daten kopieren, USB zu USB unter Win10 im Hintergrund
Frage von DerEisigeWindows 1016 Kommentare

Hallo Leute, ich bin auf der Suche nach einem Skript, dass von einem USB Stick automatisch nach dem einstecken ...