Hallo Zusammen,
richte gerade eine neue UTM (RC100) ein, inkl. SSL-VPN und CA.
Nachdem erstellen der Root_CA und den Benutzerzertifikaten - hier Common Name 'Benutzername' - kann ich keine lokalen Benutzer mehr anlegen, wo 'CN' und 'Benutzername' identisch sind,
da die Objektkennung mir netterweise sagt, das Objekt gäbe es bereits schon.
Umgekehrt, wenn ich erst den Benutzer anlege und dann das Benutzerzertifikaf erstelle, bekommt das Zertifikat den Common Name 'Benutzername(1)'
Gem. internationalem CA/SSL Standard kann das doch nicht ganz richtig sein, oder ?
Es muß dem User doch auch ein Zertifkat zugeordnet werden können, der auch den richtigen Usernamen als CN beinhaltet.
[Gelöst] Objektkennung - Bug oder Feature UTM 11.6.3
Moderator: Securepoint
-
Andreas Altermann
- Beiträge: 25
- Registriert: Di 12.08.2014, 20:41
[Gelöst] Objektkennung - Bug oder Feature UTM 11.6.3
MfG
Andreas Altermann
Andreas Altermann
Die Zuordnung von Benutzer zu Zertifikat erfolgt durch die Auswahl des korrekten Zertifikats in den Benutzer-Einstellungen. Wie das Zertifikat heißt, ist vollkommen irrelevant. Es empfiehlt sich daher, erst den Benutzer mit dem "korrekten" Namen anzulegen und danach das Zertifikat mit einem beliebigen Präfix/Suffix.
-
Andreas Altermann
- Beiträge: 25
- Registriert: Di 12.08.2014, 20:41
Also den CN als irrelavant zu bezeichnen, sehe ich ein wenig anders.
BTW: dann sollte zumindest die Securepoint-Doku hierzu angepasst werden, da wird genau der umgekehrte Weg beschrieben
und nun sind viele Stunden Arbeit mal wieder umsonst gewesen, da man Zertifikate immer noch nicht per Webinterface löschen kann und der Weg über die CLI nicht dokumentiert ist.
BTW: dann sollte zumindest die Securepoint-Doku hierzu angepasst werden, da wird genau der umgekehrte Weg beschrieben
und nun sind viele Stunden Arbeit mal wieder umsonst gewesen, da man Zertifikate immer noch nicht per Webinterface löschen kann und der Weg über die CLI nicht dokumentiert ist.
MfG
Andreas Altermann
Andreas Altermann
Sehr geehrter Herr Altermann,
Ihr Problem ist das die Securepoint Eindeutige Bezeichnungen verwendet. Sollte ein Benutzer mit dem Namen Mueller angelegt sein kann weder ein Zertifikat noch ein Netzwerkobjekt diesen Namen verwenden. Der CN ist in diesem Falle nicht relevant. Wenn Sie einen Benutzer Mueller haben nennen Sie doch einfach das Zertifikat Mueller-cert. Des Weiteren ist dieses Problem doch mit der AD Anbindung erledigt. Hier brauchen Sie keine lokalen Benutzer.
Gruß Björn
Ihr Problem ist das die Securepoint Eindeutige Bezeichnungen verwendet. Sollte ein Benutzer mit dem Namen Mueller angelegt sein kann weder ein Zertifikat noch ein Netzwerkobjekt diesen Namen verwenden. Der CN ist in diesem Falle nicht relevant. Wenn Sie einen Benutzer Mueller haben nennen Sie doch einfach das Zertifikat Mueller-cert. Des Weiteren ist dieses Problem doch mit der AD Anbindung erledigt. Hier brauchen Sie keine lokalen Benutzer.
Gruß Björn
-
Andreas Altermann
- Beiträge: 25
- Registriert: Di 12.08.2014, 20:41
Hallo Björn,
>Des Weiteren ist dieses Problem doch mit der AD Anbindung erledigt.
Verstehe die Aussage nicht, in welchen Zusammenhang dies mit einem CN aus einer PKI zutun hat.
>Ihr Problem ist das die Securepoint Eindeutige Bezeichnungen verwendet
Sehe es nicht unbedingt als mein Problem, eher als Designfehler bei SP. Und was ist, wenn man viele Muellers und Schmidts hat ?
Die Eindeutigkeit sollte doch nicht wirklich am "Namen" festgemacht sein, sondern z.B. an einer SID (ggf. versteckt).
>Des Weiteren ist dieses Problem doch mit der AD Anbindung erledigt.
Verstehe die Aussage nicht, in welchen Zusammenhang dies mit einem CN aus einer PKI zutun hat.
>Ihr Problem ist das die Securepoint Eindeutige Bezeichnungen verwendet
Sehe es nicht unbedingt als mein Problem, eher als Designfehler bei SP. Und was ist, wenn man viele Muellers und Schmidts hat ?
Die Eindeutigkeit sollte doch nicht wirklich am "Namen" festgemacht sein, sondern z.B. an einer SID (ggf. versteckt).
MfG
Andreas Altermann
Andreas Altermann
Hallo Herr Altermann,
Was die eindeutige Bezeichnung eines Objektes anhand des Namens angeht (und hier natürlich auch inclu des CN eines Zertifikates) so ist es durch aus gewollt!
Grade diese Eindeutigkeit schafft in kleinen, sowie grade in großen, Konfigurationen eine gute Übersicht über Regeln und Objekte und zwingt gewissermaßen den Admin dazu sich eine Struktur zu überlegen. Wäre dem nicht so, könnten z.B. 5 Netzwerk-Objekte den Namen Müller haben. Diese würden nun unterschiedliche IP's bekommen und im Regelwerk aber nicht eindeutig von einander zu unterscheiden sein, ergo eine unübersichtliche Konfiguration! b.t.w. auch mehrere Müllers oder Schmids besitzen unterschiedliche Vornamen oder können als CN eindeutig (wie Bjoern bereits schrieb) mit "ovpn-s.mueller-cert" usw. angelegt werden.
Was die PKI in Verbindung mit dem AD angeht, soprüfen wir derzeit verschiedene Optionen dies zu lösen. Sobald es hier neues gibt wird dies auch im Newsletter/Changelog beschrieben werden.
Bei Fragen oder Änderungswünschen schreiben Sie bitte an den Produktmanager oder erstellen sie in der Wunschbox (falls noch nicht vorhanden) einen entsprechenden Eintrag.
Gruß
Marcel
Was die eindeutige Bezeichnung eines Objektes anhand des Namens angeht (und hier natürlich auch inclu des CN eines Zertifikates) so ist es durch aus gewollt!
Grade diese Eindeutigkeit schafft in kleinen, sowie grade in großen, Konfigurationen eine gute Übersicht über Regeln und Objekte und zwingt gewissermaßen den Admin dazu sich eine Struktur zu überlegen. Wäre dem nicht so, könnten z.B. 5 Netzwerk-Objekte den Namen Müller haben. Diese würden nun unterschiedliche IP's bekommen und im Regelwerk aber nicht eindeutig von einander zu unterscheiden sein, ergo eine unübersichtliche Konfiguration! b.t.w. auch mehrere Müllers oder Schmids besitzen unterschiedliche Vornamen oder können als CN eindeutig (wie Bjoern bereits schrieb) mit "ovpn-s.mueller-cert" usw. angelegt werden.
Was die PKI in Verbindung mit dem AD angeht, soprüfen wir derzeit verschiedene Optionen dies zu lösen. Sobald es hier neues gibt wird dies auch im Newsletter/Changelog beschrieben werden.
Bei Fragen oder Änderungswünschen schreiben Sie bitte an den Produktmanager oder erstellen sie in der Wunschbox (falls noch nicht vorhanden) einen entsprechenden Eintrag.
Gruß
Marcel