Verwendung digitaler Zertifikate (Smart Certificate) / Tutorials
Übergeordnetes Thema: Tutorials

Einrichten einer CA und Erstellen und Nutzen von Zertifikaten für eine VPN-Verbindung

Dieses Tutorial beschreibt, wie Sie eine CA (Certificate-Authority) auf einem LANCOM Router aktivieren und wie die CA Sie dabei unterstützt, neue Zertifikate für eine VPN-Verbindung zwischen zwei LANCOM Routern zu erstellen und zu nutzen (Manuelle Zertifikatsverteilung).





Wichtig: Auf allen Geräten müssen Datum und Uhrzeit gültig sein.
  1. Aktivieren Sie die Certificate-Authority in LANconfig und definieren Sie das Gerät als Haupt-Zertifizierungsstelle (Root-CA). Diese Einstellungen finden Sie unter Zertifikate > Zertifizierungsstelle (CA).




  2. Sie haben nun die Möglichkeit, mit der CA Zertifikate für die VPN-Endpunkte zu erstellen, über die Verbindung später eingerichtet wird.
    1. In dem Setup-Wizard Zertifikate verwalten erstellen Sie Zertifikate einfach und komfortabel.




    2. Auf der ersten Seite des Wizards finden Sie eine Übersicht aller bisher ausgestellten Zertifikate der CA.
      Anmerkung: Das Zertifikat der CA selbst wird nicht angezeigt.




      Über die Schaltfläche Neues Zertifikat erstellen starten Sie den Prozess zur Generierung eines neuen Zertifikates.

    3. Unter dem Eintrag Zertifikate erstellen haben Sie die Möglichkeit, neben dem Profil und dem offiziellen Namen des Zertifikates (Common-name, kurz CN) noch weitere Zertifikats-Informationen zu konfigurieren, die bei der Identifizierung des Zertifikates hilfreich sind. Legen Sie die Gültigkeit für das Zertifikat sowie das Passwort für die Pkcs12-Datei fest, in der das erstellte Zertifikat, der entsprechende private Schlüssel und das Zertifikat der CA zusätzlich gespeichert werden.




      Haben Sie alle notwendigen und gewünschten Informationen eingetragen, erstellen Sie das Zertifikat über die Schaltfläche Erstellen (Pkcs12). Das Fenster zum Speichern der Pkcs12-Datei erscheint automatisch, sobald das Zertifikat im Gerät erstellt wurde. Dieser Vorgang kann einige Sekunden in Anspruch nehmen.

    4. Im Fenster Speichern der Pkcs12-Datei wählen Sie den Speicherort und den Namen der Pkcs12-Datei. Als Default wird der Dateiname nach folgendem Format vergeben:
      pkcs12<YYYY_MM_DD-hh_mm_ss>.p12
      YYYY: Jahr
      MM: Monat
      DD: Tag
      hh: Stunde
      mm: Minute
      ss: Sekunde




      Anmerkung: Der Dateiname kann wie im Beispiel beliebig abgewandelt werden.
    5. Weitere Zertifikate erstellen Sie nach dem gleichen Schema.




      Anmerkung: Übersichtsseite mit zwei erstellten Zertifikaten.
  3. Damit Sie die Zertifikate für eine VPN-Verbindung nutzen können, ist es erforderlich, diese den Geräten zur Verfügung zu stellen.
    1. Den Upload auf die jeweiligen VPN-Endpunkte können Sie komfortabel über WEBconfig unter Dateimanagement > Zertifikat oder Datei hochladen durchführen.




    2. Zertifikat oder Datei hochladen
      Wählen Sie zunächst den Dateityp und Speicherort. Für VPN-Verbindungen wählen Sie einen ungenutzten VPN-Container.
      Anmerkung: Solange noch keine Zertifikate für VPN eingerichtet wurden, sind alle VPN-Container ungenutzt.

      Im nächsten Schritt wählen Sie die Pkcs12-Datei aus, welche das Zertifikat enthält, das Sie für diesen VPN-Endpunkt nutzen möchten.

      Geben Sie das Passwort an, welches Sie in Schritt 2.c beim Erstellen der Datei vergeben haben.

      Starten Sie abschließend den Upload.





      Wichtig: Dieser Vorgang ist für alle VPN-Endpunkte erforderlich. Beachten Sie, dass jeder VPN-Endpunkt ein eigenes Zertifikat braucht.
  4. Stellen Sie eine VPN-Verbindung zwischen zwei VPN-Endpunkten her. Dies erfolgt über den Setup-Wizard Zwei lokale Netze verbinden (VPN).
    1. Wählen Sie als VPN-Verbindungs-Authentifizierung im Setup-Wizard Zertifikate (RSA Signature) aus.




    2. Im Fenster Lokale und entfernte Identitäten geben Sie den sogenannten "ASN.1-Distinguished-Name" an. Dies ist der offizielle Name des Zertifikates plus aller zusätzlichen Informationen, die Sie in Schritt 2.c angegeben haben. Diese zusätzlichen Informationen finden Sie in der Übersicht der Zertifikate (Schritt 2.e) in der Spalte "Name". Bei dem Punkt Lokale Identität geben Sie die Informationen des Zertifikates an, welches sich auf dem lokalen Gerät befindet. Der Punkt Entfernte Identität erhält die Zertifikat-Informationen des anderen VPN-Endpunktes.




    3. Führen Sie abschließend den Wizard weiter aus. Bei dem anderen VPN-Endpunkt für diese VPN-Verbindung gehen Sie äquivalent vor.
Übergeordnetes Thema: Tutorials
© LANCOM Systems. All rights reserved.