Teil 1 – Einrichten einer ZertifizierungsstelleEinrichten einer L2TP/IPSec Verbindung mit ZertifikatenTeil 3 – Kontrolle der installierten Zertifikate

L2TP/IPSec mit Zertifikaten: Teil 2 – Anfordern und Installieren der Zertifikate

Autor: Claus Greck [MVP], MCSEboard.de

Nachdem die Zertifizierungsstelle läuft, können die Zertifikate für den VPN-Client und den VPN-Server angefordert werden. Wie im ersten Teil angesprochen, gestaltet sich das über den Browser sehr einfach, wenn man auf dem Zertifikatsstellen Server vor der Installation der Zertifizierungsstelle den IIS installiert hat. Der Assistent für das Einrichten der Zertifizierungsstelle erweitert den IIS Server entsprechend.

Man könnte das ganze natürlich auch mit anderen Mitteln durchführen, das wäre aber etwas aufwendiger.

Hinweis: Ich beschreibe den ganzen Vorgang von der Zertifikatsanforderung bis hin zum Import des Stammzertifizierungsstellenzertifikats nur einmal, denn die einzelnen Schritte sind für VPN-Server und VPN-Client dieselben.

a) Zertifikat anfordern

Abb. 1

Auf dem Computer öffnet man den Internet Explorer und verbindet sich mit dem virtuellen Verzeichnis certsrv auf dem Zertifikatsserver. Dort wählt man Ein Zertifikat anfordern aus.

Abb. 2

Im nächsten Fenster wählt man Eine erweiterte Zertifikatsanforderung aus.

Abb. 3

Danach auf Eine Zertifikatsanforderung an diese Zertifizierungsstelle erstellen und einreichen klicken.

Abb. 4

Im oberen Teil der Erweiterten Zertifikatsanforderung trägt man einen  Namen ein (Name des Antragsstellers). Hier habe ich den Namen des Servers eingetragen, man hätte auch den eigenen persönlichen Namen oder den von Dornröschen eintragen können. (Mehr dazu siehe weiter unten). Außerdem wählt man den Zertifikatszweck aus, hier IP-Sec Zertifikat, man könnte auch das Clientzertifikat auswählen. Beide können für IPSec bzw. VPN/L2TP verwendet werden, das IPSec-Zertifikat aber nur ausschließlich zu diesen Zwecken und keinem anderen, während das Clientauthentifizierungszertifikat auch für weitere Authentifizierungszwecke des Computers eingesetzt werden kann.

Abb. 5

Im Abschnitt Schlüsselinformationen wählt man die Schlüsselstärke aus und ob man den Schlüssel später exportieren können möchte. In unserem Fall ist das nicht nötig. Sollte wirklich einmal der Schlüssel versehentlich gelöscht werden, braucht  man nicht auf eine Sicherung des Schlüssels zurückgreifen, man stellt dem Computer einfach ein neues Zertifikat aus. Wie bereits erwähnt, wir reden hier nicht von der professionellen PKI-Lösung, sondern vom Hausgebrauch.

Wichtig dagegen ist, Zertifikat im lokalen Zertifikatsspeicher aufbewahren zu selektieren, denn sonst wird das Zertifikat nachher nicht für den Computer installiert, sondern für den Benutzer, womit unser IPSec nicht funktionieren würde.

Abb. 6

Schließlich trägt man den Anzeigename im Abschnitt Zusätzliche Optionen ein. Weder hier spielt der Name dahingehend eine technische Rolle, dass er mit dem Computernamen übereinstimmen müsste, noch beim Antragstellernamen. Es kann irgendetwas eingetragen werden. Dies gilt für den VPN-Server wie auch für den VPN-Client. Bei der gegenseitigen Authentifizierung der Computer wird nur geprüft, ob das Zertifikat nicht abgelaufen bzw. noch gar nicht gültig ist, ob der Zweck stimmt und ob es auf eine vertrauenswürdige Stammzertifizierungsstelle zurückgeführt werden kann. Ohne einen Eingriff  in die Registry wird standardmäßig nicht einmal vollständig geprüft, ob das Zertifikat gesperrt wurde (s.a.  Windows Server 2003 Deployment Guide)
Zum Abschluss der Zertifikatsanforderung klickt man auf Einsenden.

Abb. 7

Diese Zertifikatsanforderung wurde nun an die Zertifizierungsstelle gesendet und dort muss das Zertifikat erst ausgestellt werden. Man kann aber im Fenster, das darauf den Hinweis gibt, bereits wieder auf die Startseite springen, die benötigt man im Abschnitt c) wieder.

b) Zertifikat ausstellen

Abb. 8

Auf dem Zertifizierungsstellenserver öffnet man über das Verwaltungsmenü die Konsole Zertifizierungsstelle, und erweitert das Snap-In mit einem Klick auf das Pluszeichen vor dem Servernamen. Beim  Selektieren von Ausstehende Anforderungen sieht man rechts im Detailfensterbereich die eingesendete Anforderung. Danach Rechtsklick auf diese ausstehende Anforderung, Klick auf Alle Tasks dann auf Ausstellen.

Das Zertifikat muss jetzt unter Ausgestellte Zertifikate auftauchen, sofern an dieser Stelle kein Fehler aufgetreten ist.

c) Zertifikat installieren

Abb. 9

Zurück auf dem VPN-Server oder VPN-Client öffnet man wieder einen Browser und verbindet sich mit dem virtuellen Verzeichnis certsrv der Zertifizierungsstelle, sofern man nicht schon am Ende der Zertifikatsanforderung  zurück auf die Startseite gesprungen ist. Hier wählt man diesmal den Link Status ausstehender Zertifikate anzeigen.

Abb. 10

Das ausgestellte Zertifikat sollte nun angezeigt werden …

Abb. 11

… und kann durch einen Mausklick mit anschließender Bestätigung installiert werden.

Abb. 12

Fertig!

d) Importieren des Zertifikats der Stammzertifizierungsstelle

Was noch fehlt, ist das Einbinden des Stammzertifikats der Zertifizierungsstelle auf dem lokalen Computer. Ohne dieses auf beiden Seiten installiert zu haben, kann ein Verbindungsaufbau mit L2TP/IPSec nicht stattfinden, da mindestens einer der beteiligten  Rechner dem Zertifikat des anderen nicht vertraut, und somit schon die gegenseitige Authentifizierung der Computer in der ersten Phase fehlschlägt.

Abb. 13

Um das Stammzertifizierungsstellenzertifikat zu installieren verbindet man sich am einfachsten wieder mittels des Browsers mit der Zertifizierungsstelle.

Abb. 14

Wichtiger Hinweis: Bitte im nächsten Auswahlfenster NICHT Download eines Zertifizierungsstellenzertifikats, einer Zertifikatskette oder einer Sperrliste auswählen

<< Nicht so!

Dieses Vorgehen installiert das Zertifikat der Stammzertifizierungsstelle, ja, aber nur im Speicher der Vertrauenswürdigen Zertifizierungsstellen des Webbrowsers (beim IE nachzuschauen unter Extras-> Internetoptionen->Inhalte->Zertifikate->Vertrauenswürdige Stammzertifizierungsstellen ). Dort nützt es uns für den Aufbau der VPN-Verbindung nichts, der Computer findet es da nicht. Es muss im lokalen Zertifikatsspeicher des Computers liegen. Deshalb geht man hier anders vor.

Abb. 15

<< Sondern so!

Wir laden uns das Zertifikat der Stammzertifizierungsstelle herunter und speichern es lokal ab.

Der Wizard schlägt als Dateinamen certnew.cer vor (Abb. 16) und fragt im nächsten Fenster nach dem Speicherpfad. Den Dateinamen können wir lassen, er spielt keine Rolle, der Speicherpfad ist auch egal, die Zertifikatsdatei wird von uns nun lokal abgespeichert (Abb. 17).

Abb. 16
Abb. 17

Den Webbrowser können wir nun schließen. Wir benötigen nun eine Konsole zur Zertifikatsverwaltung, die man sich selber manuell erstellen muss.

Man öffnet dazu eine leere Management-Konsole, indem man in der Kommandozeile bzw. unter Start->Ausführen einfach mmc.exe eingibt. In der leeren Management Konsole findet man im Menü Datei den Punkt Snap-In hinzufügen/entfernen.

Abb. 18
Abb. 19

Durch anschließendes Klicken auf Hinzufügen öffnet sich eines neues Fenster mit den zur Verfügung stehenden Snap-Ins. Man wählt das Snap-In Zertifikate aus, und muss dieses Snap-In wiederum durch Klicken des Buttons Hinzufügen zur die Liste der installierten Snap-Ins aufnehmen.

Dabei wird man in einem neuen Auswahlfenster gefragt, welche Zertifikate man anzeigen möchte, die des angemeldeten Benutzers, eines Dienstes oder des lokalen Computerkontos. Man wählt das Computerkonto.

Abb. 20

Da man das Zertifikat des lokalen Computers sehen möchte (hier das des VPN-Servers), wählt man dies im nächsten Auswahlfenster aus.

Abb. 21
Abb. 22

Nach dem Fertigstellen, schließt man alle zusätzlich geöffneten Auswahlfenster, und erweitert im Snap-In im linken Fensterbereich das Tool Eigene Zertifikate -> Vertrauenswürdige Stammzertifizierungsstellen.

Mit Rechtsklick auf Zertifikate -> Alle Tasks -> Importieren kann man die vorher lokal gespeicherte Zertifikatsdatei auswählen.

Abb. 23

Man sollte sich nur den Speicherpfad von oben gemerkt haben, dann dort die Datei suchen, oder den Dateinamen mit Pfadangabe gleich direkt eintragen.

Abb. 24

Als Speicherort muss Vertrauenswürdige Stammzertifizierungsstellen ausgewählt sein, dass erledigt der Assistent aber automatisch.

Abb. 25
Abb. 26
Abb. 27

Im Detailfensterbereich rechts kann der erfolgreiche Importvorgang des Stammzertifizierungsstellenzertifikats überprüft werden. Dort muss das Zertifikat mit dem Namen, den man in Teil 2 des Tutorials  beim Einrichten der Zertifizierungsstelle eingetragen hat, angezeigt werden.

© MCSEboard.de, Claus Greck [MVP]

Teil 1 – Einrichten einer ZertifizierungsstelleEinrichten einer L2TP/IPSec Verbindung mit ZertifikatenTeil 3 – Kontrolle der installierten Zertifikate