L2TP/IPSec mit Zertifikaten: Teil 3 – Kontrolle der installierten Zertifikate

Autor: Claus Greck [MVP], MCSEboard.de

Die zwei Rechner sind nach Abschluss von Teil 2 zertifikatstechnisch für L2TP mit Zertifikaten vorbereitet.

Ich kontrolliere dennoch vorher gerne nochmals nach, ob die Zertifikate ordnungsgemäß installiert wurden, aus Unachtsamkeit schleichen sich hier doch manchmal Fehler ein.

Wie die Zertifikatsanforderung und ~Installation auch, so ist dieser Vorgang für VPN-Server und VPN-Client wieder derselbe. Man öffnet eine leere Management-Konsole, indem man in der Kommandozeile bzw. unter Start->Ausführen einfach mmc.exe eingibt. In der leeren Management Konsole findet man im Menü Datei den Punkt Snap-In hinzufügen/entfernen.

: Abb. 1

: Abb. 2

Durch anschließendes Klicken auf Hinzufügen öffnet sich eines neues Fenster mit den zur Verfügung stehenden Snap-Ins. Man wählt das Snap-In Zertifikate aus, und muss dieses Snap-In wiederum durch Klicken des Buttons Hinzufügen zur die Liste der installierten Snap-Ins aufnehmen.

Dabei wird man in einem neuen Auswahlfenster gefragt, welche Zertifikate man anzeigen möchte, die des angemeldeten Benutzers, eines Dienstes oder des lokalen Computerkontos. Man wählt das Computerkonto.

: Abb. 3

Da man das Zertifikat des lokalen Computers sehen möchte (hier das des VPN-Servers), wählt man dies im nächsten Auswahlfenster aus.

: Abb. 4

: Abb. 5

Nach dem Fertigstellen, schließt man alle zusätzlich geöffneten Auswahlfenster, und erweitert im Snap-In im linken Fensterbereich das Tool Eigene Zertifikate -> Zertifikate.

Im rechten Detailfensterbereich muss jetzt das zuvor installierte Zertifikat auftauchen.

Mit einem Doppelklick auf das Zertifikat erhält man nähere Informationen zum Zertifikat, die man prüfen sollte. So sieht man unter Allgemein z.B., ob das Zertifikat noch nicht abgelaufen ist bzw. ob man sich nicht vor dem Gültigkeitsdatum befindet. Außerdem muss angezeigt werden, dass man einen privaten Schlüssel für das Zertifikat hat, ohne diesen ist das Zertifikat für den angestrebten Zweck wertlos.

: Abb. 6

Unter Details kann man die einzelnen Felder des Zertifikats auslesen. Als Erweiterte Schlüsselverwendung muss bei einem IPSec-Zertifikat IP-Sicherheits IKE stehen, bei einem Clientauthentifizierungszertifikat entsprechend Clientauthentifizierung. Da Zertifikate allgemein nur zweckgebunden verwendet werden können, funktionieren keine Zertifikate, die nicht einen dieser Zwecke beinhalten. Zusätzliche Zwecke sind jedoch kein Hindernis Erweiterte Schlüsselverwendung bei einem IPSec-Zertifikat:

: Abb. 7

Erweiterte Schlüsselverwendung bei einem Clientauthentifizeriungszertifikat:

: Abb. 8

Und schließlich gilt es den Zertifizierungspfad zu überprüfen. Das ausgestellte Zertifikat muss immer auf eine Vertrauenswürdige Stammzertifizierungsstelle zurückgeführt werden können, damit es gültig ist. Und zwar nicht nur das eigene Zertifikat, sondern auch das Zertifikat des VPN-Partners, was aber so sein sollte, wenn man das Vorgehen in Teil 2 dieses Tutorials komplett und fehlerfrei durchgeführt hat. Das Ganze sieht dann so aus:

: Abb. 9

Befindet sich das Zertifikat der Stammzertifizierungsstelle nicht im Speicher der Vertrauenswürdigen Stammzertifizierungsstellen, dann sieht das wie im nächsten Bild aus. Das Zertifikat an sich ist gültig, man sieht auch dass es von "Grizzly's Root CA" ausgestellt wurde, aber der rote Kreis mit dem X zeigt an, dass dieser Stammzertifizierungsstelle wird nicht vertraut. Hier muss man das Stammzertifizierungsstellenzertifikat nachinstallieren, oder die L2TP/IPSec-Aushandlung schlägt fehl.

: Abb. 10