Für Public-Key Verschlüsselungsverfahren müssen vor dem Verbindungsaufbau auf jeder Seite geheime Schlüssel erzeugt und die die dazugehörigen öffentlichen Schlüssel mit der Gegenstelle ausgetauscht werden.
Hierzu ist im Intranator eine Schlüsselverwaltung vorgesehen.
Im Menü System > Schlüssel > Eigene Schlüssel können eigene Schlüsselpaare aus Public- und Private-Key erzeugt werden.
Es stehen zwei verschiedene Schlüsseltypen zur Verfügung. Wählen Sie den Schlüsseltyp nach den Fähigkeiten der Gegenstelle aus:
RSA-Schlüssel nach RFC2537: Diese werden heutzutage für VPN nur noch selten verwendet. Wir raten von der Verwendung dieses Schlüsseltyps ab.
Schlüssel nach dem X.509-Standard: Die meisten IPSec-Implementierungen beherrschen diesen Schlüsseltyp. Er hat einen etwas komplexeren Aufbau und kommt außer für IPSec auch für SSL/TLS (z.B. bei HTTPS) und zur Verschlüsselung von Emails (S/MIME) zum Einsatz.
Die Sicherheit der Verschlüsselung hängt unter anderem von der Schlüssellänge in Bit ab. Der Intranator unterstützt Schlüssellängen von 512 bis 4096 Bit. Je länger der Schlüssel, desto sicherer ist die Verbindung. Einige Gegenstellen unterstützen nicht alle Schlüssellängen oder werden durch zu lange Schlüssel überlastet. Wir empfehlen die Verwendung von 2048 Bit.
Als Inhaberdaten können bei X.509 Schlüsseln Landeskürzel (2-stellig), Bundesland, Stadt, Firmenname, Abteilungsname, Rechnername und Emailadresse angegeben werden. Es muss dabei entweder ein Rechnername oder eine Emailadresse angegeben sein, der Rest der Daten ist freiwillig.
![[Achtung]](../images/admon/caution.png) | Achtung |
|---|---|
Die Inhaberdaten eines Schlüssels müssen unbedingt eindeutig sein. Die Inhaberdaten eines Schlüssels dürfen also auf diesem und allen per VPN verbundenen Geräten nur einmal vorkommen. |
Aus Sicherheitsgründen ist die Gültigkeitsdauer eines X.509-Schlüssels beschränkt. Nach dem Ablauf der Gültigkeitsdauer wird der Schlüssel nicht mehr akzeptiert und muss erneuert werden. Eine Verlängerung der Gültigkeit ist nicht möglich.
Um den Public-Key an die Gegenstelle zu übermitteln, kann er mit Zertifikat exportieren in eine Datei gespeichert werden.
Wenn Sie auf dem Intranator mehrere VPNs einrichten, müssen Sie nicht für jede Verbindung extra einen eigenen Schlüssel anlegen: Sie können einen eigenen Schlüssel für alle VPNs verwenden. Nur von jeder der Gegenstellen benötigen Sie natürlich den öffentlichen Schlüssel.
Um die Bedienung zu vereinfachen, erzeugt der Intranator normalerweise selbstsignierte Zertifikate, bei denen der Inhaber (Subject genannt) auch gleichzeitig der Zertifikatsaussteller (Issuer) ist.
Wenn Sie statt dessen eine CA verwenden wollen, so erzeugen Sie zuerst einen normalen Schlüssel. Unter dem Reiter CA können Sie eine Zertifikatsanforderung exportieren. Diese Zertifikatsanforderung wird von der CA signiert und kann dann als Zertifikat wieder in den Intranator importiert werden.
Einige VPN-Gegenstellen akzeptieren keine selbstsignierten Schlüssel, sondern fordern Schlüssel, die von einer CA signiert wurden. Um Kompatibilität mit solchen Gegenstellen einfach herzustellen, gibt es die Option .
Wenn Sie es mit einer solchen Gegenstelle zu tun haben, gehen Sie wie folgt vor:
Legen Sie einen neuen eigenen Schlüssel vom Typ X.509 an. Dieses Zertifikat wird nur
indirekt zum signieren verwendet, nennen Sie es deshalb beispielsweise
intranator-ca.
Exportieren Sie dieses Zertifikat und importieren es auf der Gegenseite als vertrauenswürdige Root-CA.
Legen Sie nun auf dem Intranator einen weiteren eigenen Schlüssel an. Dieser wird nachher vom Intranator für das VPN genutzt.
Verwenden Sie die Option um diesen Schlüssel mit dem vorher erstellen CA-Schlüssel zu signieren.