VPN mit mehrstufigen Zertifikaten

Für den zertifikatsbasierten Aufbau von VPN-Verbindungen werden im Dateisystem des Gerätes ein privater Schlüssel, ein Gerätezertifikat und das Zertifikat der CA abgelegt. Bei einstufigen Zertifikatslösungen können dazu sowohl die einzelnen Dateien, als auch eine PKCS#12-Datei verwendet werden. Nach dem Hochladen und der Eingabe des Kennworts wird ein solcher Container in die drei genannten Bestandteile zerlegt.

Bei einer mehrstufigen Zertifikatshierarchie muss hingegen ein PKCS#12-Container mit den Zertifikaten der CAs aller Stufen in der Zertifikatskette verwendet werden. Hier wird nach dem Hochladen und der Eingabe des Kennworts neben dem privaten Schlüssel und dem Gerätezertifikat das Zertifikat der nächsten CA "oberhalb" des Gerätes entpackt – die restlichen Zertifikate verbleiben im PKCS#12-Container. Beim Aktualisieren der VPN-Konfiguration werden die entpackten Zertifikate und die Zertifikate aus dem Container eingelesen. Beim Aufbau einer VPN-Verbindung übermittelt die Gegenstelle dann nur das eigene Geräte-Zertifikat, nicht jedoch die ganze Kette. Das Gerät kann dieses Zertifikat dann gegen die vorhandene Hierarchie prüfen.

Wichtig: Die Zertifikatsstrukturen müssen bei beiden Gegenstellen zueinander passen, d. h. die Hierarchie des anfragenden VPN-Gerätes darf keine Zertifikate erfordern, die in der Hierarchie des anderen VPN-Gerätes nicht enthalten sind.

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo