Lancom Systems Advanced VPN Client 1 License LS61600 Manuale Utente
Codici prodotto
LS61600
LANCOM Advanced VPN Client
쮿
Kapitel 4: Profil- Einstellungen [Parameter]
121
DE
쮿
authorityKeyIdentifier
extendedKeyUsage:
Befindet sich in einem eingehenden Benutzer-Zertifikat die Erweiterung
extendedKeyUsage so prüft der LANCOM Advanced VPN Client, ob der defi-
nierte erweiterte Verwendungszweck “SSL-Server-Authentisierung” enthalten
ist. Ist das eingehende Zertifikat nicht zur Server-Authentisierung vorgesehen,
so wird die Verbindung abgelehnt. Ist diese Erweiterung nicht im Zertifikat
vorhanden, so wird diese ignoriert.
extendedKeyUsage so prüft der LANCOM Advanced VPN Client, ob der defi-
nierte erweiterte Verwendungszweck “SSL-Server-Authentisierung” enthalten
ist. Ist das eingehende Zertifikat nicht zur Server-Authentisierung vorgesehen,
so wird die Verbindung abgelehnt. Ist diese Erweiterung nicht im Zertifikat
vorhanden, so wird diese ignoriert.
Bitte beachten Sie, dass die SSL-Server-Authentisierung richtungsab-
hängig ist. D.h. der Initiator des Tunnelaufbaus prüft das eingehende
Zertifikat der Gegenstelle, das, sofern die Erweiterung extendedKey-
Usage vorhanden ist, den Verwendungszweck “SSL-Server-Authenti-
sierung” beinhalten muss. Dies gilt auch bei einem Rückruf an den
Client über VPN.
hängig ist. D.h. der Initiator des Tunnelaufbaus prüft das eingehende
Zertifikat der Gegenstelle, das, sofern die Erweiterung extendedKey-
Usage vorhanden ist, den Verwendungszweck “SSL-Server-Authenti-
sierung” beinhalten muss. Dies gilt auch bei einem Rückruf an den
Client über VPN.
Ausnahme: Bei einem Rückruf des Servers an den Client nach einer
Direkteinwahl ohne VPN aber mit PKI prüft der Server das Zertifikat
des Clients auf die Erweiterung extendedKeyUsage. Ist diese vorhan-
den, muss der Verwendungszweck “SSL-Server-Authentisierung”
beinhaltet sein, sonst wird die Verbindung abgelehnt. Ist diese Erwei-
terung nicht im Zertifikat vorhanden, so wird diese ignoriert.
Direkteinwahl ohne VPN aber mit PKI prüft der Server das Zertifikat
des Clients auf die Erweiterung extendedKeyUsage. Ist diese vorhan-
den, muss der Verwendungszweck “SSL-Server-Authentisierung”
beinhaltet sein, sonst wird die Verbindung abgelehnt. Ist diese Erwei-
terung nicht im Zertifikat vorhanden, so wird diese ignoriert.
subjectKeyIdentifier / authorityKeyIdentifier:
Ein keyIdentifier ist eine zusätzliche ID (Hashwert) zum CA-Namen auf einem
Zertifikat. Der authorityKeyIdentifier (SHA1-Hash über den public Key des
Ausstellers) am eingehenden Zertifikat muss mit dem subjectKeyIdentifier
(SHA1-Hash über den public Key des Inhabers) am entsprechenden CA-Zerti-
fikat übereinstimmen. Kann keine Übereinstimmung erkannt werden, wird die
Verbindung abgelehnt.
Zertifikat. Der authorityKeyIdentifier (SHA1-Hash über den public Key des
Ausstellers) am eingehenden Zertifikat muss mit dem subjectKeyIdentifier
(SHA1-Hash über den public Key des Inhabers) am entsprechenden CA-Zerti-
fikat übereinstimmen. Kann keine Übereinstimmung erkannt werden, wird die
Verbindung abgelehnt.
Der keyIdentifier kennzeichnet den öffentlichen Schlüssel der Zertifizierungs-
stelle und somit nicht nur eine, sondern gegebenenfalls eine Reihe von Zerti-
fikaten. Damit erlaubt die Verwendung des keyIdentifiers eine größere
Flexibilität zum Auffinden eines Zertifizierungspfades.
stelle und somit nicht nur eine, sondern gegebenenfalls eine Reihe von Zerti-
fikaten. Damit erlaubt die Verwendung des keyIdentifiers eine größere
Flexibilität zum Auffinden eines Zertifizierungspfades.
(Außerdem müssen die Zertifikate, die den keyIdentifier in der authorityKeyI-
dentifier-Erweiterung besitzen, nicht zurückgezogen werden, wenn die CA
sich bei gleichbleibendem Schlüssel ein neues Zertifikat ausstellen lässt.)
dentifier-Erweiterung besitzen, nicht zurückgezogen werden, wenn die CA
sich bei gleichbleibendem Schlüssel ein neues Zertifikat ausstellen lässt.)