Lancom Systems Advanced VPN Client 1 License LS61600 Benutzerhandbuch
Produktcode
LS61600
LANCOM Advanced VPN Client
쮿
Kapitel 3: Client Monitor
35
DE
쮿
subjectKeyIdentifier
쮿
authorityKeyIdentifier
extendedKeyUsage:
Befindet sich in einem eingehenden Benutzer-Zertifikat die Erweiterung
extendedKeyUsage so prüft der LANCOM Advanced VPN Client, ob der defi-
nierte erweiterte Verwendungszweck die “SSL-Server-Authentisierung” ist. Ist
das eingehende Zertifikat nicht zur Server-Authentisierung vorgesehen, so
wird die Verbindung abgelehnt. Ist diese Erweiterung nicht im Zertifikat vor-
handen, so wird diese ignoriert.
extendedKeyUsage so prüft der LANCOM Advanced VPN Client, ob der defi-
nierte erweiterte Verwendungszweck die “SSL-Server-Authentisierung” ist. Ist
das eingehende Zertifikat nicht zur Server-Authentisierung vorgesehen, so
wird die Verbindung abgelehnt. Ist diese Erweiterung nicht im Zertifikat vor-
handen, so wird diese ignoriert.
Bitte beachten Sie, dass die SSL-Server-Authentisierung richtungsab-
hängig ist. D.h. der Initiator des Tunnelaufbaus prüft das eingehende
Zertifikat der Gegenstelle, das, sofern die Erweiterung extendedKey-
Usage vorhanden ist, den Verwendungszweck “SSL-Server-Authenti-
sierung” beinhalten muss
hängig ist. D.h. der Initiator des Tunnelaufbaus prüft das eingehende
Zertifikat der Gegenstelle, das, sofern die Erweiterung extendedKey-
Usage vorhanden ist, den Verwendungszweck “SSL-Server-Authenti-
sierung” beinhalten muss
subjectKeyIdentifier / authorityKeyIdentifier:
Ein keyIdentifier ist eine zusätzliche ID (Hashwert) zum CA-Namen auf einem
Zertifikat. Der authorityKeyIdentifier (SHA1-Hash über den public Key des
Ausstellers) am eingehenden Zertifikat muss mit dem subjectKeyIdentifier
(SHA1-Hash über den public Key des Inhabers) am entsprechenden CA-Zerti-
fikat übereinstimmen. Kann kein CA-Zertifikat gefunden werden, wird die Ver-
bindung abgelehnt.
Zertifikat. Der authorityKeyIdentifier (SHA1-Hash über den public Key des
Ausstellers) am eingehenden Zertifikat muss mit dem subjectKeyIdentifier
(SHA1-Hash über den public Key des Inhabers) am entsprechenden CA-Zerti-
fikat übereinstimmen. Kann kein CA-Zertifikat gefunden werden, wird die Ver-
bindung abgelehnt.
Der keyIdentifier kennzeichnet den öffentlichen Schlüssel der Zertifizierungs-
stelle und somit nicht nur eine, sondern gegebenenfalls eine Reihe von Zerti-
fikaten. Damit erlaubt die Verwendung des keyIdentifiers eine größere
Flexibilität zum Auffinden eines Zertifizierungspfades. Außerdem müssen die
Zertifikate, die den keyIdentifier in der authorityKeyIdentifier-Erweiterung
besitzen, nicht zurückgezogen werden, wenn die CA sich bei gleichbleiben-
dem Schlüssel ein neues Zertifikat ausstellen lässt.
stelle und somit nicht nur eine, sondern gegebenenfalls eine Reihe von Zerti-
fikaten. Damit erlaubt die Verwendung des keyIdentifiers eine größere
Flexibilität zum Auffinden eines Zertifizierungspfades. Außerdem müssen die
Zertifikate, die den keyIdentifier in der authorityKeyIdentifier-Erweiterung
besitzen, nicht zurückgezogen werden, wenn die CA sich bei gleichbleiben-
dem Schlüssel ein neues Zertifikat ausstellen lässt.
쮿
CA-Zertifikate anzeigen
Mit der Client Software werden mehrere Aussteller-Zertifikate unterstützt
(Multi CA-Unterstützung). Dazu müssen die Aussteller-Zertifikate im Win-
dows-Verzeichnis CaCerts\ gesammelt werden. Im Monitor des Clients wird
die Liste der eingespielten CA-Zertifikate angezeigt unter dem Menüpunkt
Verbindung > Zertifikate > CA- Zertifikate.
(Multi CA-Unterstützung). Dazu müssen die Aussteller-Zertifikate im Win-
dows-Verzeichnis CaCerts\ gesammelt werden. Im Monitor des Clients wird
die Liste der eingespielten CA-Zertifikate angezeigt unter dem Menüpunkt
Verbindung > Zertifikate > CA- Zertifikate.
Wird das Aussteller-Zertifikat einer Gegenstelle empfangen, so ermittelt der
Client den Aussteller und sucht anschließend das Aussteller-Zertifikat,
Client den Aussteller und sucht anschließend das Aussteller-Zertifikat,