Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN und eigene Zertifizierungssstelle

Frage Netzwerke

Mitglied: OsiMac

OsiMac (Level 1) - Jetzt verbinden

30.05.2014 um 17:20 Uhr, 1780 Aufrufe, 10 Kommentare

Hallo ich habe eine Verständnisfrage.

Ich habe in Virtual Labs eine Testumgebung eingerichtet. Ziel ist es mit einem Windows Client auf einen Server 2012 per VPN SSTP zuzugreifen. ich habe eine Stammzertifizierungsstelle und eine untergeordnete Enterprise Zertifizierungsstelle eingerichtet. Jetzt will ich per VPN SSTP auf die untergeordnete Zertifizierungsstelle zugreifen.

Jetzt meine Verständnisfrage. Ich habe die Stammzertifizierunggstelle eingerichtet. ok. Die Sub CA auf einem anderen Server 2012 eingerichtet. Die Stamm CA hat auch schon ein Zertifikat an die SUB CA ausgestellt..

Was ist jetzt der nächste Schritt. Muss ich das Zertifikat noch importieren? Exportieren? Wie bekommt man windows client nun das Zertifikiat??
Mitglied: OsiMac
30.05.2014 um 19:27 Uhr
nun habe ich es soweit hinbekommen das ich per pptp auf die sub ca zugreifen kann. Aber nicht per SSTP. Finde den Fehler einfach nicht. Wäre nett wenn sich wer mal melden würde der sich mit server 2012 r2 auskennt und zertifizierungssstelen
Bitte warten ..
Mitglied: OsiMac
30.05.2014 um 20:07 Uhr
danke aber hat mir nicht weitergeholfen.Keiner der sich mit Windows Server 2008 oder 2012 gut auskennt. Zertifizierungsstelle, Untergeordnete Zertifizierungsstelle und Windows Client ... VPN Verbindung per sstp herstellen und zertifizieren lassen
Bitte warten ..
Mitglied: Xaero1982
30.05.2014 um 20:14 Uhr
Und warum? Hast du es überhaupt richtig durchgelesen?
Bitte warten ..
Mitglied: OsiMac
30.05.2014 um 20:17 Uhr
jaa klar...

Das Problem ist das dort nur eine Stammzertifizierungsstelle vorhanden ist. Ich habe aber eine Stammzertifizierungsstelle im Active Directory. Eine untergeordnete Zertifizierungsstelle und einen client. im AD ist ein user angelegt der nacher vom windows client per vpn sstp auf die untergeordnete Zertifizierungsstelle zugreifen will. Dort kommt aber immer die meldung das das zertifikat von der Stammzertifizierungsstelle abgelehnt worden ist
Bitte warten ..
Mitglied: wiesi200
30.05.2014 um 20:34 Uhr
Hallo,

Warum du da eine untergeordnete Zertifizierungsstelle haben willst ist mir erst mal ein Rätsel.
Alles eine Domain, oder mit Subdomain?

Aber soweit ich das noch in Erinnerung habe, ist schon ne weile her und war nur ein 2008er, musst du das Zertifizierungsstellenzertifikat am Client bekannt machen, btw die kpl. Zertifizierungskette in deinem fall. Du bekommst es über den Browser auf der Seite https://server/certsrv. Installieren kannst du es manuell oder per GPO.

Wenn du dann das Benutzerzertifikat für die Anmeldung über die Management Console ansiehst sollte in der Zertifikatskette dann kein Fehler mehr angezeigt werden wenn du alles richtig gemacht hast.
Bitte warten ..
Mitglied: OsiMac
30.05.2014 um 20:49 Uhr
Ich will eine untergeordnete Stelle haben weil man des normal so macht damit man die Stammzertifizierungsstelle offline nehmen kann und die untergeordnete auch zertifikate ausstellen kann. wie gesagt ist alles nur ein Test setup nichts für komerziellen Bereich.

Ja das mit dem Browser hatte ich auch geamcht aber es klappt einfach nicht...


setze gerade alles nochmal neu auf. wäre net wenn wer mir da schritt für schritt begleiten könnte. wegen Zertifizierung.. irgendwas klappt nicht oder ich stell es falsch ein
Bitte warten ..
Mitglied: Dani
30.05.2014 um 21:40 Uhr
Guten Abend,
Ich will eine untergeordnete Stelle haben weil man des normal so macht damit man die Stammzertifizierungsstelle
Das machen nicht viele Unternehmen so. Der Aufwand muss im Verhältnis stehen. Seit es drum...

Dort kommt aber immer die meldung das das zertifikat von der Stammzertifizierungsstelle abgelehnt worden ist
Passt die CA-Kette im Zertifikat noch? etwas rot markiert?

Hier zwei Anleitungen:
http://marcowue.wordpress.com/2013/03/15/howto-sstp-vpn-verbindung-zu-w ...
http://marcowue.wordpress.com/2014/01/16/abhilfe-sstp-vpn-verbindung-fu ...


Grüße,
Dani
Bitte warten ..
Mitglied: Dobby
30.05.2014 um 21:54 Uhr
Hallo,

Was ist jetzt der nächste Schritt.
Tja ich würde ja schlicht und einfach sagen Du testest den ganzen Aufbau einmal durch.

Muss ich das Zertifikat noch importieren?
Nur eines, ich denke Du erstellst eine CA und dann erstellst Du ein RootCA Zertifikat
und dann Klientzertifikate.

Exportieren? Wie bekommt man windows client nun das Zertifikiat??
Je nach Aufbau und Möglichkeiten,
- per GPO
- Manuell

wie gesagt ist alles nur ein Test setup nichts für komerziellen Bereich.
Ok, das macht ja auch jeder mit sich selber ab, waser und warum er irgend
etwas testen möchte. Allerdings würde ich in einem MS Windows Server gestützten
Netzwerk eigentlich immer zwei Wege gehen wollen.
- Separater Radius Server für WLAN Klienten
- LDAP für für Kabel gebundene Klienten

Den Radius Server bzw. seine Konfiguration kann man dann auch ganz schnell mittels
NT Rad Ping "Tool" testen, ob alles wirklich richtig funktioniert wie man es erwartet
was natürlich in Deiner Situation ein echter zeitlicher Vorteil wäre.

Und auf der anderen Seite "haut" einem ein Radius Server zusammen mit Zertifikaten
und aktivierter Verschlüsselung mitunter einen richtigen "Schlag" auf bzw. in das Netzwerk.
So das es dann merklich (visuell) langsamer läuft.

weil man des normal so macht damit man die Stammzertifizierungsstelle offline nehmen kann
Auch hier hätte ich einen Einwand, wenn mal ein Zertifikat abhanden kommt, aus was für Gründen
auch immer, sollte man es sofort als gesperrt in der CRL (Certificate Revocation List) eintragen
und die sollte dann natürlich hauch "online" bzw. zu erreichen sein, und bei Deinem Setup muss
bzw. sollte dann natürlich hauch in beiden Zertifizierungsstellen das Zertifikat in der CRL gesperrt
werden. Das bedeutet dann aber auch doppelte Pflege für Dich.

Gruß
Dobby
Bitte warten ..
Mitglied: Dani
30.05.2014 um 22:12 Uhr
@Dobby
Auch hier hätte ich einen Einwand, wenn mal ein Zertifikat abhanden kommt, aus was für Gründen auch immer, sollte man es sofort als gesperrt in der CRL (Certificate Revocation List) eintragen und die sollte dann natürlich hauch "online" bzw. zu erreichen sein, und bei Deinem Setup muss bzw. sollte dann natürlich hauch in beiden Zertifizierungsstellen das Zertifikat in der CRL gesperrt werden. Das bedeutet dann aber auch doppelte Pflege für Dich.
Der Klu an dem Design ist, dass du eben keine zwei CRL pflegen musst. Denn die RootCA kennt die Zertifikate der Sub-CA gar nicht und muss Sie auch nicht. Das Ausschalten der RootCA hat eher mit der Sicherheit zu tun. Somit kann deine RootCA nie kompromitiert werden.Was natürlich der maximale Schutz für sie ist.


Grüße,
Dani
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Windows Netzwerk
Direct Access mit VPN aufbau (6)

Frage von geocast zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...