Für Public-Key Verschlüsselungsverfahren müssen vor dem Verbindungsaufbau auf jeder Seite geheime Schlüssel erzeugt und die dazugehörigen öffentlichen Schlüssel mit der Gegenstelle ausgetauscht werden.
Hierzu ist im Intra2net System eine Schlüsselverwaltung vorgesehen.
Im Menü System > Schlüssel > Eigene Schlüssel können eigene Schlüsselpaare aus Public- und Private-Key erzeugt werden.
Die Schlüssel werden nach dem X.509-Standard erstellt. Die meisten IPSec-Implementierungen beherrschen diesen Schlüsseltyp. Er hat einen etwas komplexeren Aufbau und kommt außer für IPSec auch für SSL/TLS (z.B. bei HTTPS) und zur Verschlüsselung von E-Mails (S/MIME) zum Einsatz.
Die Sicherheit der Verschlüsselung hängt unter anderem von der Schlüssellänge in Bit ab. Das Intra2net System unterstützt Schlüssellängen von 1024 bis 4096 Bit. Je länger der Schlüssel, desto sicherer ist die Verbindung. Einige Gegenstellen unterstützen nicht alle Schlüssellängen oder werden durch zu lange Schlüssel überlastet. Wir empfehlen die Verwendung von 2048 Bit.
Als Inhaberdaten können bei X.509 Schlüsseln Landeskürzel (2-stellig), Bundesland, Stadt, Firmenname, Abteilungsname, Rechnername und E-Mail-Adresse angegeben werden. Es muss dabei entweder ein Rechnername oder eine E-Mail-Adresse angegeben sein, der Rest der Daten ist freiwillig.
Achtung | |
---|---|
Die Inhaberdaten eines Schlüssels müssen unbedingt eindeutig sein. Die Inhaberdaten eines Schlüssels dürfen also auf diesem und allen per VPN verbundenen Geräten nur einmal vorkommen. |
Aus Sicherheitsgründen ist die Gültigkeitsdauer eines X.509-Schlüssels beschränkt. Nach dem Ablauf der Gültigkeitsdauer wird der Schlüssel nicht mehr akzeptiert und muss erneuert werden. Eine Verlängerung der Gültigkeit ist nicht möglich.
Um den Public-Key an die Gegenstelle zu übermitteln, kann er mit Zertifikat exportieren in eine Datei gespeichert werden.
Wenn Sie auf dem Intra2net System mehrere VPNs einrichten, müssen Sie nicht für jede Verbindung extra einen eigenen Schlüssel anlegen: Sie können einen eigenen Schlüssel für alle VPNs verwenden. Nur von jeder der Gegenstellen benötigen Sie natürlich den öffentlichen Schlüssel.
Um die Bedienung zu vereinfachen, erzeugt das Intra2net System normalerweise selbstsignierte Zertifikate, bei denen der Inhaber (Subject genannt) auch gleichzeitig der Zertifikatsaussteller (Issuer) ist.
Wenn Sie stattdessen eine CA verwenden wollen, so erzeugen Sie zuerst einen normalen Schlüssel. Unter dem Reiter CA können Sie eine Zertifikatsanforderung exportieren. Diese Zertifikatsanforderung wird von der CA signiert und kann dann als Zertifikat wieder in das Intra2net System importiert werden.
Einige VPN-Gegenstellen akzeptieren keine selbstsignierten Schlüssel, sondern fordern Schlüssel, die von einer CA signiert wurden. Um Kompatibilität mit solchen Gegenstellen einfach herzustellen, gibt es die Option "
".Wenn Sie es mit einer solchen Gegenstelle zu tun haben, gehen Sie wie folgt vor:
Legen Sie einen neuen eigenen Schlüssel an. Dieses Zertifikat wird nur indirekt zum Signieren verwendet, nennen Sie es deshalb beispielsweise
server-ca
.Exportieren Sie dieses Zertifikat und importieren es auf der Gegenseite als vertrauenswürdige Root-CA.
Legen Sie nun auf dem Intra2net System einen weiteren eigenen Schlüssel an. Dieser wird nachher vom System für das VPN genutzt.
Verwenden Sie die Option "
", um diesen Schlüssel mit dem vorher erstellen CA-Schlüssel zu signieren.