Offline Root CA

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
MopedHans
Beiträge: 66
Registriert: Mo 17.02.2014, 07:37

Offline Root CA

Beitrag von MopedHans »

Hallo,

ich betreibe eine offline Root CA mit einem Zwischenzertifikat, mit welchem ich auf verschiedenen Systemen ausstelle. Das Prinzip würde ich auch gerne in der UTM11 mit SSL-VPN umsetzen. Dazu importiere ich den public Key der Root CA und Public + Private des Zwischenzertifikats. Damit lassen sich dann entsprechende Zertifikate für SSL-VPN ausstellen. Wenn ich dann aber versuche eine VPN-Verbindung aufzubauen, scheitert dies immer mit der Meldung error=self signed certificate in certificate chain; TLS Error: TLS key negotiation failed/TLS Error: TLS handshake failed

Nach einiger Prüfung der Client- und Serverlogs scheint mir die Ursache darin zu liegen, dass die UTM nicht die komplette Zertifikatskette verifizieren kann. Mag auch sein, dass ich das falsch interpretiere. Hat evtl. schon mal jemand ähnliches probiert?

Gruß
MH

Kenneth
Beiträge: 348
Registriert: Mi 19.10.2011, 15:21
Wohnort: Lüneburg

Beitrag von Kenneth »

Hallo,

am besten rufen Sie da einmal durch oder schreiben eine Mail an support@securepoint.de.
Dann schaut einer Remote drauf.

Gruß

Kenneth

MopedHans
Beiträge: 66
Registriert: Mo 17.02.2014, 07:37

Beitrag von MopedHans »

Danke für das Angebot. Ich musste jedoch voran kommen und hab mich mit der internen Zertifikatserstellung zufrieden gegeben.

hkoetting
Beiträge: 9
Registriert: Do 11.04.2013, 16:59

Beitrag von hkoetting »

Wir möchten eigentlich ebenfalls eine Offline Root CA nutzen und haben für die Securepoint Firewall ein von unserer primären Zwischenzertifizierungsstelle ein CA-Zertifikat ausgestellt. Auf der Firewall haben wir die öffentlichen Zertifikate der Root-CA, der Zwischen-CA und das CA-Zertifikat der FW eingespielt. Wenn wir die Zertifikatskette manuell zum OpenVPN Client übertragen funktioniert der Zugang. Nur leider wird die Zertifikatskette nicht im Uferinterface mit ausgeliefert, sondern lediglich das CA Zertifikat der Securepoint FW. Der OpenVPN Client kann sich dann nicht verbinden, dass er das CA-Zertifikat der Securepoint FW nicht überprüfen kann.

Antworten