Client-Zertifikat für VPN mit openssl erstellen
Wolfgang Ewert
Hallo,
ich möchte eine VPN-Verbindung zwischen zwei w2kprof. bzw.
winXP-Rechnern mit EAP-Authentifizierung herstellen.
1) Verbindung über MS CHAP PPTP funktioniert.
2) Ich habe eine CA eingerichtet, wie in c't 5/2002 "Virtual Private
Networks" beschrieben, verwende openssl als Zertifikatsersteller (Da ich
das bereits für Web-Server und Mail mache, möchte ich keinen
Windows-Server- Zertifikats-Server einrichten).
Die Computerzertifikate habe ich mittels mmc / Zertifikate (Lokaler
Computer) nach Eigene Zertifikate importiert[1]. Das Zertifikat wird als
vertrauenswürdig eingestuft (da Stammzertifikat ebenfalls erstellt und
an passende Stelle importiert).
Das Zertifikat wurde für rechnername.domaene ausgestellt, so wie unter
Systemeingenschaften / Identifikation / Computername ausgewiesen
(kleinschreibung), d.h. CN=rechnername.domaene (ebenfalls getestete
Varianten: RECHNERNAME, rechnername, Rechnername - aber immer ohne
.domaene).
Starten der VPN-Verbindung bringt nur Fehler 798 (in der Netzwerk- und
DFÜ-Verbindungs-Hilfe ist es die 766): "Es konnte kein Zertifikat
gefunden werden das mit E.A.P. verwendet werden kann."
Andere Hinweise fand ich nicht.
Gelesen: c't-Artikel, gruppenrichtlinien.de/VPN-Howto, msisafaq/VPN,
MS-KB 253498 und latürnich (groups.)google.
Wo liegt mein Defizit? Gibt es sowas wie einen Debug-Modus oder
"verborgene" Log-Dateien? Wie sieht ein Computer-Zertifikat aus, das
eine W2k-Server-CA erstellt? Muss der private key bei [1] als
"exportierbar" markiert weden? Darf nur ein Zertifikat unter "Eigene"
liegen? Sind besondere Anforderungen an das root-CA (Antrag-
Aussteller)?
Ggf. fahre ich auch einen Rechner als W2k-Server hoch und mache dort (2)
parallel, wollte ich aber vermeiden.
Danke & Gruß
Wolfgang
Wolfgang Ewert
> ich möchte eine VPN-Verbindung zwischen zwei w2kprof. bzw.
> winXP-Rechnern mit EAP-Authentifizierung herstellen.
Nee, über L2TP + IPSec und MS Chapv2-Auth.
> 2) Ich habe eine CA eingerichtet, ...
> Die Computerzertifikate habe ich mittels mmc / Zertifikate (Lokaler
> Computer) nach Eigene Zertifikate importiert[1].
Es darf nur 1 Zertifikat, ggf. mit dem Stammzertifikat, dort existieren.
Und das war das Problem:
> Das Zertifikat wurde für rechnername.domaene ausgestellt, so wie unter
> Systemeingenschaften / Identifikation / Computername ausgewiesen
> (kleinschreibung), d.h. CN=rechnername.domaene (ebenfalls getestete
> Varianten: RECHNERNAME, rechnername, Rechnername - aber immer ohne
> .domaene).
Case-sensitiv: Einmal heisst der Rechner "Laptop1." und einmal
"LAPTOP2." und der Punkt tauchte in den Zertifikaten zum OP-Zeitpunkt
gar nicht auf, was flachs war.
So, nun weiter testen (unter stärkeren Einschränkungen).
Wolfgang