OpenSSL Fragen

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
EOiN
Beiträge: 3
Registriert: 12.10.2010 16:28:35

OpenSSL Fragen

Beitrag von EOiN » 03.07.2012 00:35:46

Hallo liebe Debian Gemeinde,
ich beschäftige mich momentan, aus Interesse, mit Zertifizierung stellen (OpenSSL) in Verbindung mit VPN (StrongSwan).
Im Internet habe ich dazu auch etliche Anleitungen gefunden, ich möchte aber nicht alles per Copy & Paste umsetzen sondern auch verstehen was ich da mache. Und so ein paar Fragen konnte ich mir mit Google einfach nicht beantworten.
1. Wie ist das mit dem Zertifizierungspfad?
Ich brauche eine CA, ein Serverzertifikat für StrongSwan und Zertifikate für die User.
Doch mit welchem Zertifikat wird das User Zertifikat Signiert?
Von der CA oder vom Serverzertifikat?

2. Da ich auch Windows 7 Road Warrior mit ins VPN einbinden möchte, muss ich ja die Anforderungen von Windows 7 an die Zertifikate berücksichtigen.
Laut StrongSwan Wiki muss dazu das Gateway Zertifikat ?! die folgende extendedKeyUsage haben: serverAuth.
Ist mit dem Gateway Zertifikat das StrongSwan Serverzertifikat gemeint?
Müssen die Clientzertifikate auch irgendwelche extendedKeyUsage einträge haben?

3. Des Weiteren sollte das Gateway Zertifikat einen SubjectAltName haben.
Gehört das auch ins StrongSwan Serverzertifikat?

Gruß EOiN
Nach oben
Benutzeravatar
Natureshadow
Beiträge: 2157
Registriert: 11.08.2007 22:45:28
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Radevormwald
Kontaktdaten:

Re: OpenSSL Fragen

Beitrag von Natureshadow » 03.07.2012 07:49:35

Hallo,
EOiN hat geschrieben: 1. Wie ist das mit dem Zertifizierungspfad?
Ich brauche eine CA, ein Serverzertifikat für StrongSwan und Zertifikate für die User.
Doch mit welchem Zertifikat wird das User Zertifikat Signiert?
Von der CA oder vom Serverzertifikat?
Deine CA signiert alle weiteren Zertifikate und Zertifikate werden genau dann als gültig erachtet, wenn sie von deiner CA signiert wurden.
EOiN hat geschrieben: 2. Da ich auch Windows 7 Road Warrior mit ins VPN einbinden möchte, muss ich ja die Anforderungen von Windows 7 an die Zertifikate berücksichtigen.
Laut StrongSwan Wiki muss dazu das Gateway Zertifikat ?! die folgende extendedKeyUsage haben: serverAuth.
Ist mit dem Gateway Zertifikat das StrongSwan Serverzertifikat gemeint?
Müssen die Clientzertifikate auch irgendwelche extendedKeyUsage einträge haben?
In VPN-Terminologie ist der VPN-Server das Gateway. Was Windows noch in den Client-Zertifikaten braucht, weiß ich nicht.
EOiN hat geschrieben: 3. Des Weiteren sollte das Gateway Zertifikat einen SubjectAltName haben.
Gehört das auch ins StrongSwan Serverzertifikat?
Ja, commonName und subjectAltName sollten übereinstimmen und dem FQDN deines Gateways entsprechen.

-nik
Nach oben
Antworten

Zurück zu „weitere Dienste“