VPN-Verbindungen auf Zertifikatsunterstützung einstellen

Anmerkung: VPN-Verbindungen mit Zertifikatsunterstützung können nur aufgebaut werden, wenn das Gerät über die korrekte Uhrzeit verfügt. Wenn das Gerät keine aktuelle Uhrzeit hat, kann die Gültigkeit der Zertifikate nicht richtig beurteilt werden, die Zertifikate werden dann abgelehnt und es kommt keine Verbindung zustande.

Um VPN-Verbindungen auf die Unterstützung von Zertifikaten einzustellen, müssen verschiedene Teile der Konfiguration entsprechend vorbereitet werden:

IKE-Proposals
IKE-Proposal-Listen
IKE-Schlüssel
VPN-Parameter

Verbindungs-Parameter

Anmerkung: Je nach Firmwarestand sind die benötigten Werte teilweise schon in Ihrem Gerät vorhanden. Prüfen Sie in diesem Fall nur die Werte auf richtige Einstellung.

Anmerkung: Wenn Sie ein entferntes Gerät auf die nachfolgende beschriebene Weise auf Zertifikatsunterstützung umstellen wollen, das nur über einen VPN-Tunnel erreichbar ist, müssen Sie auf jeden Fall zuerst das entfernte Gerät umstellen, bevor Sie die Verbindung des lokalen Geräts ändern. Durch die Änderung der lokalen Konfiguration ist das entfernte Gerät ansonsten nicht mehr erreichbar!

In den Listen der Proposals werden zwei neue Proposals mit den exakten Bezeichnung 'RSA-AES-MD5' und 'RSA-AES-SHA' benötigt, die beide als Verschlüsselung 'AES-CBC' und als Authentifizierungsmodus 'RSA-Signature' verwenden und sich nur im Hash-Verfahren (MD5 bzw. SHA1) unterscheiden.

LANconfig: VPN / IKE-Param. / IKE-Proposals WEBconfig: LCOS-Menübaum / Setup / VPN / Proposals / IKE
In den Proposal-Listen wird eine neue Liste benötigt mit der exakten Bezeichnung 'IKE_RSA_SIG', in der die beiden neuen Proposals 'RSA-AES-MD5' und 'RSA-AES-SHA' aufgeführt sind.

LANconfig: VPN / IKE-Param./ IKE-Proposallisten WEBconfig: LCOS-Menübaum / Setup / VPN / Proposals / IKE-Proposal-Listen

In der Liste der IKE-Schlüssel müssen für alle Zertifikats-Verbindungen die entsprechenden Identitäten eingestellt werden.

LANconfig: VPN / IKE-Param. / IKE-Schlüssel

Der Preshared Key kann ggf. gelöscht werden, wenn er endgültig nicht mehr benötigt wird.
Der Typ der Identitäten wird auf ASN.1 Distinguished Names umgestellt (lokal und remote).
Die Identitäten werden exakt so eingetragen wie in den Zertifikaten. Die einzelnen Werte z. B. für 'CN', 'O' oder 'OU' können durch Kommata oder Slashes getrennt werden.

Es müssen alle in den Zertifikaten eingetragenen Werte aufgeführt werden, in der gleichen Reihenfolge. Prüfen Sie ggf. über die Systemsteuerung den Inhalt der Zertifikate. Wählen Sie dazu Start / Systemsteuerung / Internetoptionen und dort auf der Registerkarte 'Inhalte' die Schaltfläche Zertifikate. Öffnen Sie das gewünschte Zertifikat und wählen Sie auf der Registerkarte 'Details' den entsprechenden Wert aus. Für den Antragsteller finden Sie hier z. B. die benötigten ASN.1 Distinguished Names mit den zugehörigen Kurzzeichen. Die in den Zertifikaten von oben nach unten aufgeführten Werte müssen in den IKE-Schlüssel von links nach rechts eingetragen werden. Beachten Sie auch die Groß- und Kleinschreibung!

Anmerkung: Die Anzeige von Zertifikaten unter Microsoft Windows zeigt für manche Werte ältere Kurzformen an, beispielweise 'S' anstelle von 'ST' für 'stateOrProvinceName' (Bundesland) oder 'G' anstelle von 'GN' für 'givenName' (Vorname). Verwenden Sie hier ausschließlich die aktuellen Kurzformen 'ST' und 'GN'.

Anmerkung: Sonderzeichen in den ASN.1 Distinguished Names können durch die Angabe der ASCII-Codes in Hexadezimaldarstellung mit einem vorangestellten Backslash eingetragen werden. „\61“ entspricht z. B. einem kleinen „a“.

Unter WEBconfig oder Telnet finden Sie die IKE-Schlüssel an folgenden Stellen:

Konfigurationstool	Aufruf
WEBconfig	LCOS-Menübaum / Setup / VPN / Zertifikate-Schluessel / IKE-Keys
Terminal/Telnet	`/Setup/VPN/Zertifikate-Schluessel/IKE-Keys`

In den IKE-Verbindungs-Parametern müssen die Default-IKE-Proposal-Listen für eingehende Aggressive-Mode- und Main-Mode-Verbindungen auf die Proposal-Liste 'IKE_RSA_SIG' eingestellt sein. Beachten Sie außerdem die Einstellung der Default-IKE-Gruppe, die im nächsten Schritt ggf. angepasst werden muss.

Die Default-IKE-Proposal-Listen und Default-IKE-Gruppen finden Sie unter LANconfig im Konfigurationsbereich 'VPN' auf der Registerkarte 'Defaults':

Unter WEBconfig oder Telnet finden Sie die Default-IKE-Proposal-Listen und Default-IKE-Gruppen an folgenden Stellen:

Konfigurationstool	Aufruf
WEBconfig	LCOSMenübaum / Setup / VPN
Terminal/Telnet	`/Setup/VPN`

In den VPN-Verbindungs-Parametern müssen zum Schluss die VPN-Verbindungen auf die Verwendung der richtigen IKE-Proposals eingestellt werden ('IKE_RSA_SIG'). Dabei müssen die Werte für 'PFS-Gruppe' und 'IKE-Gruppe' mit den in den IKE-Verbindungs-Parametern eingestellten Werten übereinstimmen.

Die VPN-Verbindungs-Parameter finden Sie unter LANconfig im Konfigurationsbereich 'VPN' auf der Registerkarte 'Allgemein' mit einem Klick auf die Schaltfläche Verbindungs-Parameter:

Unter WEBconfig oder Telnet finden Sie die VPN-Verbindungs-Parameter an folgenden Stellen:

Konfigurationstool	Aufruf
WEBconfig	LCOS-Menübaum / Setup / VPN / VPN-Layer
Terminal/Telnet	`/Setup/VPN/VPN-Layer`