Zertifikate Beim Vpn-Verbindungsaufbau - LANCOM LCOS 9.00 Referenzhandbuch

1 Verwenden Sie als Kennwörter für Schlüssel oder PKCS#12-Dateien nur ausreichend lange und sichere Passphrasen.

10.7.5 Zertifikate beim VPN-Verbindungsaufbau

Neben den grundlegenden Informationen zum Thema Zertifikate betrachten wir in diesem Abschnitt die konkrete
Anwendung beim VPN-Verbindungsaufbau. Für einen solchen Verbindungsaufbau mit Zertifikatsunterstützung müssen
auf beiden Seiten der Verbindung (z. B. Anbindung einer Filiale an das Netzwerk der Zentrale über einen Router) bestimmte
Informationen vorhanden sein:
1
Die Filiale verfügt über folgende Komponenten:
2 Zertifikat der Root-CA mit dem Public Key der CA
2
Eigenes Geräte-Zertifikat mit dem eigenen Public Key und der Bestätigung der Identität. Die Prüfsumme dieses
Zertifikats ist mit dem Private Key der CA signiert.
2
Eigener Private Key
1
Die Zentrale verfügt über folgende Komponenten:
2
Zertifikat der Root-CA mit dem Public Key der CA
2 Eigenes Geräte-Zertifikat mit dem eigenen Public Key und der Bestätigung der Identität. Die Prüfsumme dieses
Zertifikats ist mit dem Private Key der CA signiert.
2 Eigener Private Key
Beim VPN-Verbindungsaustausch laufen vereinfacht dargestellt im Main Mode folgende Vorgänge ab (in beide Richtungen
symmetrisch):
1. In einem ersten Paketaustausch handeln die Peers z. B. die verwendeten Verschlüsselungsmethoden und die Verfahren
zur Authentifizierung aus. In dieser Phase haben beide Seiten noch keine gesicherte Kenntnis darüber, mit wem sie
gerade verhandeln, das ist jedoch bis zu diesem Zeitpunkt nicht notwendig.
2. Im nächsten Schritt wird ein gemeinsames Schlüsselmaterial für die weitere Verwendung ausgehandelt, darin u.a.
symmetrische Schlüssel und asymmetrische Schlüsselpaare. Auch in diesem Zustand können beide Seiten noch nicht
sicher sein, mit wem sie die Schlüssel ausgehandelt haben.
3. Im nächsten Schritt wird mit Hilfe der Zertifikate geprüft, ob der Peer aus der Verhandlung des Schlüsselmaterials
auch tatsächlich der beabsichtigte Kommunikationspartner ist:
1 Die Filiale errechnet aus dem Schlüsselmaterial der aktuellen Verhandlung eine Prüfsumme (Hash), die lediglich
die beiden beteiligten Peers (Filiale und Zentrale) und nur während dieser Verbindung berechnen können.
1
Diesen Hash verschlüsselt die Filiale mit dem eigenen Private Key und erzeugt damit eine Signatur.
1
Diese Signatur übermittelt die Filiale zusammen mit dem eigenen Zertifikat dem Peer in der Zentrale.
1 Die Zentrale prüft dann die Signatur für das empfangene Zertifikat der Filiale. Das kann sie mit Hilfe des Public
Keys im Root-CA, welcher in beiden Peers identisch vorhanden ist. Kann die Signatur aus dem Filialen-Zertifikat
Referenzhandbuch
10 Virtual Private Networks - VPN
583