Forums Neueste Beiträge
 

Erreichbarkeit der Zertifizierungsstelle für IPSec VPN

13/10/2009 - 15:34 von Anastasia Wickels | Report spam
Hallo,

mal ne kurze Frage zu IPSec VPN mit ISA 2006 bzw. TMG und Root CA.

Wenn ich eine IPSec-mit-Zertifikat VPN Lösung mit dem ISA Server
realisieren möchte, dann muss doch die Root CA für die VPN Clients
erreichbar sein, damit diese ein gültiges Computerzertifikat
beantragen und installieren können. Wenn es sich um Clients in der
eigenen AD handelt, dann ist das kein Problem, da die Root CA ohne
Probleme erreichbar ist. Was ist aber, wenn externe Clients, die nicht
Mitglied der AD sind und sich weit weg befinden, ein
Computerzertifikat beantragen wollen - wie sollen diese die Root CA
erreichen können?

In unserem Netzwerk ist z.B. der DC gleichzeitig Root CA - muss ich
dann den DC im Internet veröffentlichen? Macht das Sinn oder gibt es
eine andere Möglichkeit Zertifikate für diese externen Clients zu
erstellen und evt. zu verschicken, damit diese dann auf dem Client
installiert werden können?

Danke für Eure Tipps!

Viele Grüße, Anastasia
 

Lesen sie die antworten

#1 Jens Mander
13/10/2009 - 16:21 | Warnen spam
hallo anastasia,

Wenn ich eine IPSec-mit-Zertifikat VPN Lösung mit dem ISA Server
realisieren möchte, dann muss doch die Root CA für die VPN Clients
erreichbar sein, damit diese ein gültiges Computerzertifikat
beantragen und installieren können. Wenn es sich um Clients in der
eigenen AD handelt, dann ist das kein Problem, da die Root CA ohne
Probleme erreichbar ist. Was ist aber, wenn externe Clients, die nicht
Mitglied der AD sind und sich weit weg befinden, ein
Computerzertifikat beantragen wollen - wie sollen diese die Root CA
erreichen können?
In unserem Netzwerk ist z.B. der DC gleichzeitig Root CA - muss ich
dann den DC im Internet veröffentlichen? Macht das Sinn oder gibt es
eine andere Möglichkeit Zertifikate für diese externen Clients zu
erstellen und evt. zu verschicken, damit diese dann auf dem Client
installiert werden können?



hier ein paar ideen:
entweder veröffentlichst du die ca - bzw. z.b. nur deren weboberflàche,
damit sich die "externen" das ca-cert besorgen können. oder noch besser, du
verschickst es (z.b. per mail), nachdem du es über die weboberflàche selber
downgeloadet hast. oder du legst es auf einen webserver, den du
veröffentlichst und der nur das cert vorhàlt.

gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|

Ähnliche fragen