[WCM]Manx
21.11.05, 16:41
Hi @all!
Ich hab ein ipsec VPN eingerichtet.
Server: Debian "sarge", racoon, selbsterstellte CA, selbstgenerierte x509 Zertifikate.
Client: Windows XP mit dem vpn-tool von vpn.ebootis.de
Funktioniert bis auf ein paar Kleinigkeiten auch ganz gut.
Nur geht mir eine Frage nicht aus dem Kopf:
lt. einem (alten 'ct) Artikel funktioniert der Tunnelaufbau so:
http://www.heise.de/ct/02/05/216/
... Wenn Antje eine VPN-Verbindung ins Firmennetz .. aufbauen will, sendet ihr Rechner zur Authentifizierung sein Zertifikat an das VPN-Gateway. Dieses überprüft zunächst mit dem Public Key der vertrauenswürdigen CA deren Unterschrift. Ist diese korrekt, kann das Gateway sicher sein, dass der erhaltene Public Key tatsächlich Antje gehört. Und wenn Antjes Rechner richtig auf damit verschlüsselte Anfragen antwortet, weiß das Gateway, dass sich nur der Besitzer des zugehörigen Secret Keys - also Antje - am anderen Ende der virtuellen Leitung befinden kann. ...
Die *.p12 Datei für Windows enthält das Benutzer-Zertifikat, den (passwortgeschützten) private key und das CA-Zertifikat.
Geschützt ist die gesamte Datei durch ein (anderes) Import-Passwort.
Windows kennt also das Passwort für den Private Key nicht.
Wie(so) funktioniert's dann?
Grüße
Manx
Ich hab ein ipsec VPN eingerichtet.
Server: Debian "sarge", racoon, selbsterstellte CA, selbstgenerierte x509 Zertifikate.
Client: Windows XP mit dem vpn-tool von vpn.ebootis.de
Funktioniert bis auf ein paar Kleinigkeiten auch ganz gut.
Nur geht mir eine Frage nicht aus dem Kopf:
lt. einem (alten 'ct) Artikel funktioniert der Tunnelaufbau so:
http://www.heise.de/ct/02/05/216/
... Wenn Antje eine VPN-Verbindung ins Firmennetz .. aufbauen will, sendet ihr Rechner zur Authentifizierung sein Zertifikat an das VPN-Gateway. Dieses überprüft zunächst mit dem Public Key der vertrauenswürdigen CA deren Unterschrift. Ist diese korrekt, kann das Gateway sicher sein, dass der erhaltene Public Key tatsächlich Antje gehört. Und wenn Antjes Rechner richtig auf damit verschlüsselte Anfragen antwortet, weiß das Gateway, dass sich nur der Besitzer des zugehörigen Secret Keys - also Antje - am anderen Ende der virtuellen Leitung befinden kann. ...
Die *.p12 Datei für Windows enthält das Benutzer-Zertifikat, den (passwortgeschützten) private key und das CA-Zertifikat.
Geschützt ist die gesamte Datei durch ein (anderes) Import-Passwort.
Windows kennt also das Passwort für den Private Key nicht.
Wie(so) funktioniert's dann?
Grüße
Manx