Wildcard Matching Von Zertifikaten; Diagnose Der Vpn-Zertifikatsverbindungen - Lancom Systems LCOS 9.10 Referenzhandbuch

Gültige URL, max. 251 Zeichen.
2
Default:
Leer

10.7.22 Wildcard Matching von Zertifikaten

Einleitung
Bei zertifikatsbasierten VPN-Verbindungen werden in der Regel die Subjects (Antragsteller) der verwendeten Zertifikate
als lokale und entfernte Identität verwendet. Diese werden in der VPN-Konfiguration in Form von (oftmals komplexen)
ASN.1 Distinguished Names (DN) hinterlegt. In der VPN-Verhandlung wird dann die konfigurierte lokale Identität zur
Auswahl des eigenen Zertifikates benutzt und an die Gegenstelle übermittelt, während die konfigurierte entfernte Identität
mit der empfangenen Identität der Gegenstelle und mit dem Subject des empfangenen Zertifikates verglichen wird.
Die lokale und die entfernte Identität müssen in der VPN-Konfiguration bisher immer vollständig angegeben werden.
Dies ist zum einen fehleranfällig, und zum anderen ist es manchmal gewünscht, nur einen Teil des Subjects angeben zu
müssen. Praktisch ist dies beispielsweise, um bei einem Zertifikatswechsel oder bei gleichzeitiger Verwendung mehrerer
paralleler Zertifikatshierarchien verschiedene Zertifikate mit ähnlichem Subject automatisch zu akzeptieren.
Um dies zu ermöglichen, kann ein flexiblerer Identitätsvergleich verwendet werden. Die in den konfigurierten Identitäten
enthaltenen Komponenten eines ASN.1-Distinguished Name (DN) (Relative Distinguished Names – RDNs) müssen in
den relevanten Subjects dabei nur enthalten sein. Die Reihenfolge der RDNs ist dabei beliebig. Darüber hinaus können
die Werte der RDNs die Wildcards '?' und '*' beinhalten. Werden die Wildcards als Teil des RDNs benötigt, müssen sie
in Form von '\?' bzw. '\*' angegeben werden. Beispiele:
1
Subject = '/CN=Max Mustermann/O=*ACME*', DN = '/CN=Max?Muster*'
1 Subject = '/CN=Max Mustermann/O=*ACME*', DN = '/O=\*ACME\*'
Konfiguration
Der flexible Identitätsvergleich kann in der VPN-Konfiguration aktiviert bzw. deaktiviert werden.
WEBconfig: LCOS-Menübaum / Setup / VPN
1
Flexible-ID-Comparison
Mögliche Werte:
2 Ja, Nein
Default:
2
Nein
Der flexible Identitätsvergleich wird sowohl bei der Prüfung der (empfangenen) entfernten Identität als auch bei der
Zertifikatsauswahl durch die lokale Identität eingesetzt.

10.7.23 Diagnose der VPN-Zertifikatsverbindungen

Die folgenden Befehle an der Telnet-Konsole können hilfreiche Aufschlüsse geben, sollte der VPN-Verbindungsaufbau
nicht wie gewünscht funktionieren:
1
trace + vpn-status
Zeigt einen Trace der aktuellen VPN-Verbindungen.
1
show vpn long
Zeigt die Inhalte der VPN-Konfiguration, u.a. dabei die eingetragenen Distinguished Names (DN).
1
show vpn ca
Referenzhandbuch
10 Virtual Private Networks - VPN
639