Identitäten-Liste
In dieser Tabelle fassen Sie weitere entfernte Identitäten in einer Gruppe zusammen.
- Name
- Enthält den eindeutigen Namen dieses Eintrages.
- Identität
- Listet die weiteren entfernten Identitäten auf, die in dieser Gruppe zusammengefasst sind. Diese Identitäten konfigurieren Sie unter Identitäten.
Identitäten
In dieser Tabelle konfigurieren Sie weitere entfernte Identitäten. Diesen Namen wählen Sie bei der Gruppierung von entfernten Identitäten unter Identitäten-Liste aus.
- Name
- Enthält den eindeutigen Namen dieses Eintrages.
- Entfernte Authentifizierung
- Legt die Authentifizierungsmethode für die entfernte Identität fest.
- Entf. Dig. Signature-Profil
- Falls als Entfernte Authentifizierung "Digital-Signature" ausgewählt wird, dann geben Sie hier den Profilnamen des entfernten Digital-Signatur-Profils an.
- Entfernter Identitätstyp
- Zeigt den ID-Typ an, den das Gerät von der entfernten Identität erwartet. Entsprechend interpretiert das Gerät die Eingabe
unter "Entfernte Identität". Mögliche Angaben sind:
- Keine Identität: Das Gerät akzeptiert jede ID des entfernten Gerätes. Eine Angabe im Feld "Entfernte Identität" ignoriert das Gerät.
- IPv4-Adresse: Das Gerät erwartet eine IPv4-Adresse als entfernte ID.
- IPv6-Adresse: Das Gerät erwartet eine IPv6-Adresse als entfernte ID.
- Domänen-Name (FQDN): Das Gerät erwartet einen Domänen-Namen als entfernte ID.
- E‑Mail-Adresse (FQUN): Das Gerät erwartet eine E‑Mail-Adresse als entfernte ID.
- ASN.1-Distinguished-Name: Das Gerät erwartet einen Distinguished Name als entfernte ID.
- Key-ID (Gruppenname): Das Gerät erwartet den Gruppennamen als entfernte ID.
- Entfernte Identität
- Enthält die entfernte Identität. Die Bedeutung dieser Eingabe ist abhängig von der Einstellung unter "Entfernter Identitätstyp".
- Entferntes Passwort
- Enthält das Passwort der entfernten Identität.
- Entfernter Zertifikats-ID-Check
- Diese Option bestimmt, ob das Gerät prüft, ob die angegebene entfernte Identität im empfangenen Zertifikat enthalten ist.
- OCSP-Überprüfung
- Mit dieser Einstellung aktivieren Sie die Echtzeitüberprüfung eines Zertifikates via Online Certificate Status Protocol
(OCSP), welche den Gültigkeitsstatus des Zertifikats der Gegenstelle abfragt. Um die OCSP-Prüfung für einzelne
VPN-Verbindungen zu verwenden, müssen Sie zunächst den globalen OCSP-Client für VPN-Verbindungen aktivieren und anschließend
Profillisten gültiger Zertifizierungsstellen anlegen, bei denen das Gerät die Echtzeitprüfung durchführt.
Wichtig: Beachten Sie, dass die Prüfung via OCSP allein den Sperrstatus eines Zertifikates abfragt, jedoch nicht die mathematische Korrektheit seiner Signatur, seine Gültigkeitsdauer oder sonstige Nutzungsbeschränkungen prüft.
- CRL Check
-
Mit dieser Einstellung aktivieren Sie die Überprüfung eines X.509-Zertifikats via Zertifikatssperrlisten (Certificate
Revocation List, CRL), welche den Gültigkeitsstatus des Zertifikats der Gegenstelle abfragt.
Wichtig: Schalten Sie diese Überprüfung nur ab, wenn Sie die Überprüfung auf einem anderen Weg durchführen, z. B. über OSCP.
EAP-Profile
In dieser Tabelle konfigurieren Sie EAP-Profile. Diese wählen Sie bei der Authentifizierung aus, wenn Sie als Methode für die entfernte Authentifizierung EAP auswählen.
- Name
- Geben Sie diesem EAP-Profil einen Namen, über den es referenziert werden kann.
- Ausschließlich EAP-Authentifzierung
- Erlaubt optional die gegenseitige Authentifizierung der Gegenstellen innerhalb des EAP. Die Authentifizierung außerhalb des EAP entfällt dann. Siehe auch RFC 5998.
Passwort-Regeln
- Preshared Key-Regeln erzwingen
- Mit dieser Option haben Sie die Möglichkeit, das Erzwingen von Passwort-Regeln zu aktivieren oder zu deaktivieren. Es
gelten dann die folgenden Regeln für die Pre-Shared Keys (PSK) bei IKEv2:
- Die Länge des Passworts muss mindestens 32 Zeichen betragen.
- Das Passwort muss mindestens 3 der 4 Zeichenklassen Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen enthalten.
Anmerkung: Diese Regeln gelten nicht für PSK, die von einem RADIUS-Server verwaltet und bezogen werden.
