Main Mode VPN mit Lancom Routern

Main Mode VPN mit Lancom Routern

Das Ca-Root Zertifikat

Falls noch nicht geschehen dann XCA herunterladen und installieren. Anschließend muss in der Anwendung XCA eine neue Datenbank erstellt werden.

Dazu Datei-> Neue Datenbank wählen (STRG-N), Name und Speicherort der Datenbank festlegen und im folgenden Dialog ein Passwort für die Datenbank vergeben und bestätigen.

 

Zuerst wird nun das Root-Zertifikat der CA (Certificate Authority) erzeugt. Dieses Zertifikat dient später zur Signierung der Server und Client Zertifikate.

  1. Im Reiter Zertifikate auf den Button <Neues Zertifikat> klicken
     
    1. Im sich nun öffnenden Fenster <Erstelle X509 Zertifikat> den Reiter Herkunft auswählen. Dort im Bereich Unterschrift für ein selbstsigniertes Zertifikatdie Seriennummer 1 eingeben
       
    2. Den Signatur Algorithmus SHA1 oder SHA256 auswählen. Im Folgenden wird immer SHA256 verwendet da die Lancom Router diesen Modus unterstützen und die Verschlüsselung sicherer ist
       
    3. Als Vorlage [default] CA auswählen.
Abb.: 2.1
Abb.: 2.2
  1. Auf den Reiter <Inhaber> wechseln. Dort die folgenden Einstellungen vornehmen:
     
    1. Einen beliebigen Schlüsselnamen eingeben, hier rootkey
       
    2. Schlüsseltyp und –länge: RSA und 2048bit
       
    3. Mit <Erstellen> bestätigen 
       
    4. Es erscheint ein Bestätigungsfenster und der soeben erstellte Schlüssel sollte nun automatisch unter <Privater Schlüssel> eingetragen sein
       
Abb.: 2.3
Abb.: 2.4
  1. Nun müssen einige Angaben gemacht werden aus denen im weiteren Verlauf die ASN.1 Identität des CA-Root Zertifikats erzeugt wird. Man hat hier relativ freie Hand, daher sind die hier gezeigten Einträge nur eine Möglichkeit von vielen.In das Feld <Interner Name> einen beliebigen Namen eingeben, hier ca-root. Dieser dient lediglich der internen Verwaltung. Alle anderen Felder können leer bleiben. Die Identitätsinformation wird nun über die Schaltfläche <Hinzufügen> erzeugt. Dazu jeweils den gewünschten Typ aus der Drop-Down Box auswählen und den Inhalt eingeben. Als Minimum sollte der <commonName> aufgeführt werden. Alle weiteren Felder sind optional. In diesem Beispiel führen die gemachten Eingaben zu dem ASN.1 Namen <OU=IT-Department,CN=ca-root,O=TestCompany>.
     
  2. Als nächsten Schritt auf den Reiter <Erweiterungen> wechseln. Dort für das CA-Root Zertifikat den Typ <Zertifikats Authorität> auswählen. Ebenso sind die Checkboxen <Critical>, <Subject Key Identifier> und <Authority Key Identifier> anzuklicken.
    Im Bereich Gültigkeit ist nun noch die Zeitspanne einzustellen in der das Zertifikat gültig sein soll. Hier jeweils das gewünschte Datum eingeben. Im Beispiel wurden 3 Jahre gewählt.
     
Abb.: 2.5
Abb.: 2.6
  1. Als letzten Schritt auf den Reiter <Key Usage> wechseln. Dort <Certificate Sign> und <CRL Sign> auswählen und anschließend alle Eingaben mit <OK> bestätigen. Damit ist die Erzeugung des CA-Root Zertifikats abgeschlossen. Mit diesem Zertifikat werden später alle weiteren Zertifikate signiert und deren Vertrauenswürdigkeit bestätigt.
Abb.: 2.7
Abb.: 2.8

Soweit nun die Erstellung des CA-Root Zertifikats. Dieses werden wir nun bei der Generierung der Server- und Client-Zertifkate verwenden. Weiter geht es zunächst mit dem Server-Zertifikat