Lancom Systems Advanced VPN Client 1 License LS61600 User Manual
Product codes
LS61600
LANCOM Advanced VPN Client
쮿
Kapitel 4: Profil- Einstellungen [Parameter]
120
DE
4.11.5
Weitere Zertifikats- Überprüfungen
Neben der Zertifikats-Überprüfung nach Inhalten erfolgt am LANCOM Advan-
ced VPN Client eine weitere Zertifikatsprüfung in mehrfacher Hinsicht.
ced VPN Client eine weitere Zertifikatsprüfung in mehrfacher Hinsicht.
1. Auswahl der CA-Zertifikate
Der Administrator des Firmennetzes legt fest, welchen Ausstellern von Zertifi-
katen vertraut werden kann. Dies geschieht dadurch, dass er die CA-Zertifi-
kate seiner Wahl in das Windows-Verzeichnis \CaCerts\ gespielt. Das
Einspielen kann bei einer Software-Distribution mit Disketten automatisiert
stattfinden, wenn sich die Aussteller-Zertifikate bei der Installation der Soft-
ware im Root-Verzeichnis der ersten Diskette befinden. Nachträglich können
Aussteller-Zertifikate automatisch über den Secure Update Server verteilt wer-
den (siehe -> Handbuch zum Update Server), oder - sofern der Benutzer über
die notwendigen Schreibrechte in genanntem Verzeichnis verfügt - von die-
sem selbst eingestellt werden (siehe -> CA-Zertifikate anzeigen).
katen vertraut werden kann. Dies geschieht dadurch, dass er die CA-Zertifi-
kate seiner Wahl in das Windows-Verzeichnis \CaCerts\ gespielt. Das
Einspielen kann bei einer Software-Distribution mit Disketten automatisiert
stattfinden, wenn sich die Aussteller-Zertifikate bei der Installation der Soft-
ware im Root-Verzeichnis der ersten Diskette befinden. Nachträglich können
Aussteller-Zertifikate automatisch über den Secure Update Server verteilt wer-
den (siehe -> Handbuch zum Update Server), oder - sofern der Benutzer über
die notwendigen Schreibrechte in genanntem Verzeichnis verfügt - von die-
sem selbst eingestellt werden (siehe -> CA-Zertifikate anzeigen).
Derzeit werden die Formate *.pem und *.crt für Aussteller-Zertifikate unter-
stützt. Sie können im Monitor unter dem Hauptmenüpunkt Verbindung >
Zertifikate > CA-Zertifikate anzeigen eingesehen werden.
stützt. Sie können im Monitor unter dem Hauptmenüpunkt Verbindung >
Zertifikate > CA-Zertifikate anzeigen eingesehen werden.
Wird am LANCOM Advanced VPN Client das Zertifikat einer Gegenstelle emp-
fangen, so ermittelt der Client den Aussteller und sucht anschließend das Aus-
steller-Zertifikat, zunächst auf Smart Card oder PKCS#12-Datei, anschließend
im Verzeichnis CaCerts\. Kann das Aussteller-Zertifikat nicht gefunden wer-
den, kommt die Verbindung nicht zustande.
fangen, so ermittelt der Client den Aussteller und sucht anschließend das Aus-
steller-Zertifikat, zunächst auf Smart Card oder PKCS#12-Datei, anschließend
im Verzeichnis CaCerts\. Kann das Aussteller-Zertifikat nicht gefunden wer-
den, kommt die Verbindung nicht zustande.
Sind keine Aussteller-Zertifikate vorhanden, wird keine Verbindung zugelas-
sen.
sen.
2. Überprüfung der Zertifikats-Erweiterung
Zertifikate können Erweiterungen (Extensions) erfahren. Diese dienen zur Ver-
knüpfung von zusätzlichen Attributen mit Benutzern oder öffentlichen Schlüs-
seln, die für die Verwaltung und den Betrieb der Zerifizierungshierarchie und
der Sperrlisten (Revocation Lists) benötigt werden. Prinzipiell können Zertifi-
kate eine beliebige Anzahl von Erweiterungen inklusive privat definierter
beinhalten. Die Zertifikats-Erweiterungen (Extensions) werden von der aus-
stellenden Certification Authority in das Zertifikat geschrieben.
knüpfung von zusätzlichen Attributen mit Benutzern oder öffentlichen Schlüs-
seln, die für die Verwaltung und den Betrieb der Zerifizierungshierarchie und
der Sperrlisten (Revocation Lists) benötigt werden. Prinzipiell können Zertifi-
kate eine beliebige Anzahl von Erweiterungen inklusive privat definierter
beinhalten. Die Zertifikats-Erweiterungen (Extensions) werden von der aus-
stellenden Certification Authority in das Zertifikat geschrieben.
Für den LANCOM Advanced VPN Client und das VPN Gateway sind drei Erwei-
terungen von Bedeutung:
terungen von Bedeutung:
쮿
extendedKeyUsage
쮿
subjectKeyIdentifier