Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

Home
Firmware
Fehlersuche - Support


Funktionsüberblick
Signalscanner
Application Notes
Usermodule
Videos


LUCOM
Shop
Newsletter
Testgerät
Workshop
www.lucom.de
info@lucom.de


Impressum

LUCOM GmbH
Komponenten & Systeme
Flößaustraße 22a
90763 Fürth
GERMANY

Fon:  +49 911 957 60 600
Fax:  +49 911 957 60 620
E-Mail:info@lucom.de

sidebar

lucom:router:vpn-zertifikat-verwalten

VPN-ZERTIFIKATE-VERWALTEN

Aufbau einer eigenen Zertifikatsverwaltung

Einführung

Mittels Zertifikaten kann die Sicherheit der Authentifizierung von VPN-Teilnehmern untereinander wesentlich erhöht werden. Außerdem gibt es viele Situationen im Mobilfunk, bei denen ein VPN-Tunnel nur mittels Zertifikaten aufgebaut werden kann. Die Verwendung eines Pre-shared Keys (PSK) bzw. eines einfachen Passworts schlägt in diesen Fällen zwangsläufig fehl.

LUCOMs eigenes VPN Serviceportal Digicluster ist von Haus aus in der Lage, Zertifikate zu erstellen und zu verwalten. Anwender des Digiclusters brauchen also keine eigene Zertifikatsverwaltung aufbauen.

Einsatzszenario

Häufig kommen Zertifikate bei folgendem VPN-Szenario zum Einsatz.

Abb.1: Einfaches VPN-Netzwerk

Mobilfunkrouter werden in diesem Beispiel als VPN-Client konfiguriert, ein beliebiger Office-Router kommt als VPN-Server zum Einsatz. Durch den VPN Tunnel kann auf die Netzwerkteilnehmer (Steuerungen) hinter den Mobilfunkroutern zugegriffen werden.

Diese Anleitung geht auf die Erstellung aller Zertifikate und Schlüssel für einen VPN-Server und einen VPN-Client ein.

Empfohlene Software

Zum einfachen Erzeugen eigener Zertifikate empfiehlt sich die Verwendung von XCA

Version: 0.9.2 (oder höher)

Durchführung

Um zwei Netzwerkteilnehmer (den VPN-Server und - Client) via Zertifikats-basiertem VPN-Tunnel miteinander zu verbinden, werden folgende Zertifikate und Schlüssel benötigt:

  • ein sogenanntes Root CA Zertifikat
  • ein VPN Server Zertifikat und dessen Schlüssel (Private Key) sowie
  • ein VPN Client Zertifikat und dessen Schlüssel.

Zertifikate und Schlüssel anlegen

Alle Schritte dieses Abschnittes werden im Reiter Zertifikate durchgeführt.

A. CA Zertifikat erstellen

Zum Anlegen des CA Zertifikats den Knopf Neues Zertifikat drücken.

Abb.4: Neues CA Zertifikat erstellen

Ein neues Fenster mit den Grundeinstellungen öffnet sich. Zunächst sind die Einstellungen im Reiter Herkunft vorzunehmen.

  • Unterschreiben → Erstelle eine Selbst signiertes Zertifikat mit der Serien Nummer → 1
  • Signatur Algorithmus → SHA1
  • Vorlage für das neue Zertifikat → [default] CA → Knopf Alles übernehmen

Durch Alles übernehmen werden die wichtigsten Einstellungen einer CA in allen weiteren Reitern des Fenstern voreingestellt. Der Konfigurationsaufwand verringert sich dadurch signifikant.

Abb.5: Einstellungen im Reiter Herkunft, Knopf Alles übernehmen drücken

Im Reiter Inhaber sind sinnvolle Bezeichner für die Felder im oberen Bereich zu finden. Wichtig ist ein selbstsprechender Name für den Internen Namen. Der commanName ist in der Regel der gleiche wie der Interne Name.

Abb.6: Beschreibungstexte des CA Zertifikats eintragen

Des Weiteren ist im Reiter Inhaber ein privater Schlüssel zu erstellen, Knopf Erstelle einen neuen Schlüssel.

Abb.7: Sinnvolle Einstellungen für den CA Zertifikats-Schlüssel

Damit ist das CA (oder auch Wurzel-) Zertifikat erstellt. Alle Einstellungen können mit dem Knopf OK im Hauptfenster Erstelle x.509 Zertifikat übernommen werden.

B. Server Zertifikat und Schlüssel erstellen

Im Reiter Zertifiakte ist das CA Zertifikat bereits vorhanden. Dieses mit der Maus markieren und anschließend ein neues Zertifikat erstellen.

Abb.8: Neues Server Zertifikat erstellen

Im Reiter Herkunft unterscheiden sich diesmal die Einstellungen von denen der CA.

  • Unterschreiben → Verwende des Zertifiakt zum Unterschreiben → Name des CA Zertifikats auswählen
  • Vorlage → [default] HTTPS_server

Auch diesmal werden die Server Einstellungen mittels Alles übernehmen auf alle weiteren Bereiche des Zertifikats (so weit möglich) übertragen.

Abb.9: Einstellungen um Reiter Herkunft, Knopf Alles übernehmen nicht vergessen!

Im Reiter Inhaber sind wieder sinnvolle Bezeichner zu wählen. In diesem Beispiel wird der Interne Name und commonName als serverZert bezeichnet.

Abb.10: Feldbezeichner des Server Zertifikats

Außerdem ist im Reiter Inhaber via Knopf Erstelle einen neuen Schlüssel ein neuer privater Schlüssel für das Server Zertifikat zu erstellen. Die Einstellungen des Schlüssels können dem folgenden Screenshot entnommen werden

Abb.11: Sinnvolle Parameter des Server Schlüssels

Damit nicht jedes Jahr neue Zertifikate erstellt werden müssen, ist es ratsam im Reiter Erweiterungen die Zeitspanne der Gültigkeit des Zertifikats auf mehrere Jahre festzulegen.

Abb.12: Gültigkeit des Zertifikats verlängern

Somit sind alle Einstellungen des VPN Server Zertifikats vorgenommen und können mit OK im Fenster Erstelle x.509 Zertifikat übernommen werden. Das Server Zertifikat wird dann automatisch durch XCA erstellt.

Abb.13: Server Zertifikat wurde erfolgreich erstellt und der CA untergeordnet

C. VPN Client Zertifikat und Schlüssel erstellen

Analog zum Server Zertifikat ist abschließend noch ein VPN Client Zertifikat zu erstellen. Dazu die CA markieren und den Knop Neues Zertifikat drücken.

Im Reiter Herkunft ist diesmal als Vorlage der HTTPS_client auszuwählen. Der Knopf Alles übernehmen verteilt die wichtigsten Grundeinstellung wieder über alle XCA-Reiter.

Abb.14: Grundeinstellungen des Client Zertifikats

Analog zu den vorherigen Zertifikaten sind auch beim VPN Client sinnvolle Feldbezeichner im Reiter Inhaber einzutragen (hier clientZert). Ebenfalls nicht vergessen werden sollte, einen neuen Schlüssel zu erstellen.

Abb.15: Sinnvolle Feldbezeichner für das Client Zertifikat

Schlüsseltyp und Schlüssellänge sind wieder RSA und 1024 bit.

Abb.16: Private Key Einstellungen

Auch beim Client Zertifikat sollte die Zeitspanne der Gültigkeit erweitert werden

Abb.17: Verlängerte Zeitspanne des Client Zertifikats von 10 Jahren

Damit ist das Client Zertifikat vollständig konfiguriert und die Einstellungen können mit OK übernommen werden

Abb.18: Übersicht der angelegten Zertifikate

Zertifikate exportieren

Zur weiteren Verwendung der Zertifikate in den Zielgeräten müssen die Zertifikate und deren Schlüssel noch abschließend exportiert werden.

Benötigt werden:

  • das CA Zertifikat (unter keinen Umständen dessen Schlüssel!!!),
  • Client Zertifikat und Schlüssel
  • das Server Zertifikat und dessen Schlüssel.

Zum Export stehen mehrere Speicherformate zur Verfügung. Die Wichtigsten für diese Anleitung sind PEM und PKCS12.

A. CA Zertifikat exportieren

Als erstes ist das CA Zertifikat im PEM-Format zu exportieren. Unter keinen Umständen darf der dazugehörige Schlüssel exportiert werden, da sonst die Sicherheit der gesamten Kommunikationsinfrastruktur von Außen kompromittiert werden könnte.

CA markieren und den Knopf Export drücken.

Abb.19: CA Zertifikat exportieren.

Speicherformat für das CA Zertifikat ist üblicherweise PEM.

Abb.20: CA im PEM Format exportieren

B. Client Zertifikat und Schlüssel exportieren

Im Reiter Zertifikate das Client Zertifikat selektieren und Exportieren drücken. Export-Format ist PEM.

Abb.21: Export des Client Zertifikats

Nachfolgend ist der passende Schlüssel des Client Zertifikats zu exportieren. Die erfolgt im Reiter Private Schlüssel, Knopf Exportieren. Als Speicherformat PEM auswählen.

Abb.22: Export des privates Schlüssels des VPN Clients

C. VPN Server Zertifikat und Schlüssel exportieren

Im Reiter Zertifikate das Server Zertifikat selektieren und Export drücken. Export-Format ist PEM.

Abb.23: Export des Server Zertifikats im PEM-Format

Analog zum Client ist auch der private Schlüssel des Server Zertifikats zu exportieren. Dazu im Reiter Private Schlüssel, clientZert markieren und den Knopf Exportieren drücken.

Abb.24: Export des privates Schlüssels des VPN Servers

In einigen Fällen ist es sinnvoll das Server Zertifikat und dessen Schlüssel im PKCS12 Container Format vorrätig zu haben, weshalb im letzten Schritt dieser Anleitung das Server Zertifikat im Reiter Zertifikate im .p12-Dateiformat exportieren werden soll. Dem Container ist beim Export ein Passwort zu vergeben.

Abb.25: Export des VPN Server PKCS12 Containers

Damit sind alle Schritte zum Anlegen einer eigenen Zertifikatsverwaltung erfolgreich abgearbeitet :-)

Die in diesem Bespiel erzeugten Zertifikate können hier zur eigenen Verwendung und Übung heruntergeladen werden. Das Passwort des PKCS12 Containers lautet lucom.

Verwendungsort der Zertifikate

Die erstellten Zertifikate und Schlüssel kommen in den VPN Teilnehmern (VPN Client und Server, siehe Abb.1) nicht alle gleichermaßen zum Einsatz. Die nachfolgende Tabelle soll einen kompakten Überblick geben, wo welches Zertifikat bzw. Schlüssel beim Aufbau eines VPN Tunnels üblicherweise zum Einsatz kommt.

Tab.1: Verwendung der Zertifikate und Schlüssel

Zertifikate VPN Mobilfunkrouter/VPN Client VPN Server
demoCA.crt X X
clientZert.crt X X
clientZert-schluessel.pem X -
serverZert.crt X X
serverZert-schluessel.pem - X
serverZert.p12 (optional) - X

lucom/router/vpn-zertifikat-verwalten.txt · Zuletzt geändert: 2017/01/25 22:09 (Externe Bearbeitung)