Main Mode VPN mit Lancom Routern
Das Ca-Root Zertifikat
Falls noch nicht geschehen dann XCA herunterladen und installieren. Anschließend muss in der Anwendung XCA eine neue Datenbank erstellt werden.
Dazu Datei-> Neue Datenbank wählen (STRG-N), Name und Speicherort der Datenbank festlegen und im folgenden Dialog ein Passwort für die Datenbank vergeben und bestätigen.
Zuerst wird nun das Root-Zertifikat der CA (Certificate Authority) erzeugt. Dieses Zertifikat dient später zur Signierung der Server und Client Zertifikate.
- Im Reiter Zertifikate auf den Button <Neues Zertifikat> klicken
- Im sich nun öffnenden Fenster <Erstelle X509 Zertifikat> den Reiter Herkunft auswählen. Dort im Bereich Unterschrift für ein selbstsigniertes Zertifikatdie Seriennummer 1 eingeben
- Den Signatur Algorithmus SHA1 oder SHA256 auswählen. Im Folgenden wird immer SHA256 verwendet da die Lancom Router diesen Modus unterstützen und die Verschlüsselung sicherer ist
- Als Vorlage [default] CA auswählen.
- Im sich nun öffnenden Fenster <Erstelle X509 Zertifikat> den Reiter Herkunft auswählen. Dort im Bereich Unterschrift für ein selbstsigniertes Zertifikatdie Seriennummer 1 eingeben
|
|
- Auf den Reiter <Inhaber> wechseln. Dort die folgenden Einstellungen vornehmen:
- Einen beliebigen Schlüsselnamen eingeben, hier rootkey
- Schlüsseltyp und –länge: RSA und 2048bit
- Mit <Erstellen> bestätigen
- Es erscheint ein Bestätigungsfenster und der soeben erstellte Schlüssel sollte nun automatisch unter <Privater Schlüssel> eingetragen sein
- Einen beliebigen Schlüsselnamen eingeben, hier rootkey
|
|
- Nun müssen einige Angaben gemacht werden aus denen im weiteren Verlauf die ASN.1 Identität des CA-Root Zertifikats erzeugt wird. Man hat hier relativ freie Hand, daher sind die hier gezeigten Einträge nur eine Möglichkeit von vielen.In das Feld <Interner Name> einen beliebigen Namen eingeben, hier ca-root. Dieser dient lediglich der internen Verwaltung. Alle anderen Felder können leer bleiben. Die Identitätsinformation wird nun über die Schaltfläche <Hinzufügen> erzeugt. Dazu jeweils den gewünschten Typ aus der Drop-Down Box auswählen und den Inhalt eingeben. Als Minimum sollte der <commonName> aufgeführt werden. Alle weiteren Felder sind optional. In diesem Beispiel führen die gemachten Eingaben zu dem ASN.1 Namen <OU=IT-Department,CN=ca-root,O=TestCompany>.
- Als nächsten Schritt auf den Reiter <Erweiterungen> wechseln. Dort für das CA-Root Zertifikat den Typ <Zertifikats Authorität> auswählen. Ebenso sind die Checkboxen <Critical>, <Subject Key Identifier> und <Authority Key Identifier> anzuklicken.
Im Bereich Gültigkeit ist nun noch die Zeitspanne einzustellen in der das Zertifikat gültig sein soll. Hier jeweils das gewünschte Datum eingeben. Im Beispiel wurden 3 Jahre gewählt.
|
|
- Als letzten Schritt auf den Reiter <Key Usage> wechseln. Dort <Certificate Sign> und <CRL Sign> auswählen und anschließend alle Eingaben mit <OK> bestätigen. Damit ist die Erzeugung des CA-Root Zertifikats abgeschlossen. Mit diesem Zertifikat werden später alle weiteren Zertifikate signiert und deren Vertrauenswürdigkeit bestätigt.
|
|
Soweit nun die Erstellung des CA-Root Zertifikats. Dieses werden wir nun bei der Generierung der Server- und Client-Zertifkate verwenden. Weiter geht es zunächst mit dem Server-Zertifikat