IPSec - Authentifizierung per Zertifikat

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

IPSec - Authentifizierung per Zertifikat

Beitrag von Franz »

Hat jemand mit der UTM v11.8.7.x eine IPSec-Verbindung unter Verwendung von Zertifikaten zur Authentifizierung zum Laufen bekommen?

Gruß

Franz

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Eine IPSec-S2S-Verbindung mit Zertifikaten lässt sich mit der aktuellen UTM 11.8.7.2 fast genauso einfach einrichten wie eine mit RSA-Keys, wenn man beachtet, dass die CRL der CA manuell auf der Seite der Filiale zu importiert ist, denn die CRL ist im PKCS #12-Zertifikat für die Filiale nicht enthalten.
 
Auf der UTM in der Zentrale sind folgende Schritte auszuführen (wenn die Zertifikate auf dieser UTM generiert werden, was ich empfehlen würde).
  1. CA-Zertifikat erzeugen (sofern nicht bereits vorhanden)
  2. CRL des CA-Zertifikats exportieren
  3. Serverzertifikat für die Zentrale erzeugen und im PEM-Format exportieren
  4. Aus dem soeben exportierten Zertifikat den Private Key entfernen, denn der wird beim späteren Import auf der Filialseite nicht benötigt
  5. Serverzertifikat für die Filiale erzeugen und im PCKS #12 Format speichern
 
Auf der UTM in der Filiale ist als Vorbereitung Folgendes auszuführen.
  1. PCKS #12 Zertifikat importieren
  2. CRL des CA-Zertifikats importieren
  3. Serverzertifikat (ohne Private Key) der Zentrale importieren
 
Anschließend kann die S2S-Verbindung über die Assistenten auf beiden Seiten eingerichtet werden.
 
Sofern noch IKE v1 in Phase 1 verwendet wird, funktionieren diese S2S-Verbindungen zuverlässig.
Wenn jedoch IKE v2 zur Anwendung kommt, was eigentlich Stand der Technik ist, kommt es ab dem ersten Erneuern der SA zu ständigem Neuaufbau der Verbindung im Abstand von 10 Sekunden. Zu dem Fehler hatte ich bereits Anfang 2018 ein Ticket beim Support eröffnet.

Antworten