Zertifizierungsstelle Server 2008 R2

[Dey]

Hi.

Ich hatte bereits einen Server 2008 R2 als VPN-Server am Laufen und konnte erfolgreich VPN-Verbindungen herstellen.

Jetzt wollte ich das Ganze noch mal "ordentlich" machen, d.h. mitsamt einer Zertifierungsstelle. Diese habe ich auf dem Server bereits installiert.

Was ist nun der nächste Schritt? Laut Tutorials müsste ich jetzt über den Client ein Ipsec-Zertifikat anfordern.

Dieses steht in der Management Console aber überhaupt nicht zur Verfügung. Habe ich irgendwas vergessen?

 

[Masamune2]

http://www.serverhowto.de/Teil-2-Anfordern-und-Installieren-der-Zertifikate.62.0.html

Einfach http://<dein Server>/certsrv

 

[Dey]

Die Anleitung habe ich neben einigen anderen bereits verwendet. Muss ich zwingend zuvor den IIS installieren?

 

[Masamune2]

Ohne IIS haste keine Webseite.... also Ja^^

 

[Dey]

Jap, habe es jetzt soweit hingekriegt ;-)

Das nächste Problem besteht darin, das Active X Control zu installieren^^

Welchen Vorlagentyp soll ich verwenden? Davon steht in dem Turorial nichts.

Und eine allgemeine Frage: Wenn ich alles gemäß des Tutorials eingerichtet habe: Was ist der große Vorteil? Werden die eingegebenen VPN-Anmeldedaten dann verschlüssel übertragen? Oder inwiefern ist dadurch die Sicherheit höher?

Ich bin auf dem Gebiet leider noch ein Newbie. Und in den Tutorials steht immer nur das "Wie", nicht aber das "Warum".

Update: Die Anleitung ist für die Tonne. Auf meinem Server 2008 steht überhaupt nicht die benötigte Zertifikatvorlage zur Verfügung. Und es wird nirgends beschrieben, was notwendig ist, um diese verfügbar zu machen. Na super....

Ergänzung (10. Juni 2012)

Ich habe es hingekriegt. Ich habe die Zertifikatvorlage IPSec(Offline) hinzugefügt und konnte dann diesen Eintrag auswählen.

Das Zertifikat wurde angefordert und installiert. Muss ich es jetzt auch auf dem Client installieren?

Ergänzung (10. Juni 2012)

VPN-Server wurde installiert. Bis jetzt ist der VPN-Server noch nirgends mit dem Zertifikat in Verbindung gebracht worden. Wie werden beide verknüpft?

 

[D0cH0lliday]

Bin auch noch relativ neu in der Materie.
Ich hab schlechte Erfahrungen gemacht mit der IPSec-Zertifikatsvorlage, benutze lieber das normale Computerzertifikat.

Auf dem CA-Server das Snap-in CA-Vorlage öffnen. Danach das Computer Zertifikat mit rechts auswählen und glaube neue Vorlage erstellen. (z.B. VPNComputerzertifikat) Danach war es glaube im Reiter Sicherheit bei
den authentifizierten Nutzer das "Häkchen" bei automatisch Registrieren rein machen.
Die neue Vorlage muss man dann noch im AD veröffentlicht werden, sofern du eine Domäne betreibst.

Damit die jeweiligen Computer ein Zertifikat automatisch erhalten, geht das am besten mit einer GPO (Computer -> Windows Administration -> Sicherheit -> Einstellung für Öffentliche Schlüssel). Dort die automatische Registrierung einschalten. "gpupdate" nicht vergessen

Überprüfen ob die Zertifikate verteilt worden sind, machst du am besten bei den Clients mit dem Snap In Zertifikate -> Computerkonto und dort unter "Eigene Zertifikate" nach sehen, ob ein Zertifikat ausgestellt wurde

Der VPN Server brauch auch eins^^, Dieses Zertifikat nimmst du dann am Server zur Authentifizierung.

Hoffe konnte dir ein wenig helfen,

 

[Dey]

Also die Installation des Zertifikates hat sehr gut geklappt. Ich habe es auf dem Server erstellt und dann sowohl auf dem Server als auch auf einem Client installiert. Dort taucht es auch unter dem Span-in "Zertifikatvorlagen" unter Stammzertifikate auf.

Mein Problem ist jedoch weiterhin, dass ich nicht weiß, wie ich den VPN-Server dahingehend konfigurieren soll, dass er etwas mit den Zertifikaten macht. Der VPN-Server hat ja auch schon vorher funktioniert, gänzlich ohne Zertifikate. Jetzt funktioniert es natürlich auch, jedoch werden keine Zertifikate für die Herstellung der VPN-Verbindung verwendet.

 

[Dey]

Update: Der VPN-Server funktioniert tadellos. Leider zeigt das o.g. Tutorial nicht, wie ein VPN mit IPsec realisiert wird. Auf der MSDN-Seite habe ich bzgl. VPN einige Informationen gefunden. Eine ausschließlich auf Benutzername und Passwort basierende Authentifizierung (PPTP) weist eine geringere Sicherheit auf als eine auf Zertifikaten basierende Verbindung (IPsec).

Wie gesagt, zeigt das Tutorial zwar, wie man eine Zertifizierungsstelle einrichtet, jedoch nicht, wie man ein IPsec-basiertes VPN aufsetzt. Befolgt man lediglich die Schritte zur Installation eines VPN-Servers, kann man genauso gut eine VPN-Verbindung zu seinem Server herstellen.

Ich hoffe, dass es noch andere Anleitungen gibt oder erfahrene User mir helfen können, das VPN auf IPsec umzustellen. Kennt jemand vielleicht andere Foren, in denen sich ein paar Profis herumtreiben?