29.2. Zertifikate
Zurück 29. Kapitel - VPN mit dem NCP Client für Windows Mobile Weiter

29.2. Zertifikate

Der NCP Secure Windows Mobile Client kann keine eigenen Zertifikate erstellen. Dies übernimmt daher das Programm makecacert, welches im makecert-Paket enthalten ist. Der Unterschied zwischen makecacert und makecert ist, daß makecert selbstsignierte Zertifikate erzeugt, makecacert dagen welche, die von einer (dummy) Zertifizierungsstelle (CA) signiert wurden.

  1. Starten Sie die Batchdatei makecacert.bat und wählen eine Laufzeit in Jahren für Ihr Zertifikat.

    c:\makecert>makecacert.bat
Gueltigkeit des neuen Zertifikats:
1. Ein Jahr
2. Zwei Jahre
3. Drei Jahre
4. Vier Jahre
5. Fuenf Jahre
Ihre Wahl: 5
          
c:\makecert>openssl req -newkey rsa:2048 -days 1825 -x509 -out cacert.pem -keyout
cakey.pem -config openssl-ca.cnf -batch -passout pass:geheim -set_serial 31659
          
Loading 'screen' into random state - done
Generating a 2048 bit RSA private key
............+++
............+++
writing new private key to 'cakey.pem'
-----
          
c:\makecert>openssl req -newkey rsa:2048 -nodes -config openssl.cnf -keyout priv
atekey.pem -out request.pem
Loading 'screen' into random state - done
Generating a 2048 bit RSA private key
.............................................................+++
........................+++
writing new private key to 'privatekey.pem'
-----

  2. Sie werden nach den Inhaberdaten des neuen Zertifikats gefragt. Es kommt vor allem darauf an, daß die dort eingetragen Daten eindeutig sind und in dieser Form nicht in einem anderen Zertifikat verwendet werden. Wir empfehlen, z.B. den Benutzernamen in das Feld "Common Name" einzufügen. Hier in diesem Beispiel ist dies "Markus Mustermann".

    Bitte verwenden Sie keine Umlaute und Sonderzeichen, da dies zu Problemen führen kann.

    You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:
State or Province Name (full name) []:
Locality Name (eg, city) []:
Organization Name (eg, company) []:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:Markus Mustermann
Email Address []:

c:\makecert>openssl x509 -days 365 -out newkey_cert.cer -in request.pem -req -CA
cacert.pem -CAkey cakey.pem -set_serial 1 -passin pass:geheim
Loading 'screen' into random state - done
Signature ok
subject=/CN=Markus Mustermann
Getting CA Private Key

c:\makecert>del request.pem

c:\makecert>rem --- please enter the transport password now (just used for trans
port, enter this one while importing) ---

c:\makecert>openssl pkcs12 -export -in newkey_cert.cer -inkey privatekey.pem -ce
rtfile cacert.pem -out newkey.p12
Loading 'screen' into random state - done

  3. Als nächstes müssen Sie ein Passwort für Ihr Zertifikat wählen. Mit diesem Passwort wird das Zertifikat (und damit der VPN-Zugang) geschützt. Sie müssen es beim Aufbau der VPN-Verbindung eingeben. Die Standardrichtlinie von NCP verlangt mindestens 6 Zahlen oder Zeichen.

    Enter Export Password:
Verifying - Enter Export Password:

c:\makecert>del privatekey.pem

c:\makecert>del cacert.pem

c:\makecert>del cakey.pem

  4. Das Schlüsselpaket für den Client liegt nun im PKCS#12-Format in der Datei newkey.p12, das Zertifikat für den Intranator (PEM-Format) in der Datei newkey_cert.cer.

  5. Starten Sie den Entry Configuration Manager WM und öffnen das Menü Konfiguration, Übertrage PKCS#12 Datei zum mobilen Gerät. Kopieren Sie die newkey.p12-Datei auf das mobile Gerät.

  6. Lassen Sie die Zertifikats-Konfiguration automatisch vom Client anpassen.

  7. Übertragen Sie die geänderte Konfiguration auf das mobile Gerät. Es erscheint die Meldung Upload wurde erfolgreich durchgeführt.

  8. Öffnen Sie das Menü Konfiguration, Zertifikate und kontrollieren Sie die Einstellungen. Der PKCS#12-Dateiname sollte %INSTALLDIR%\certs\newkey.p12 sein.

  9. Als nächstes muß das Zertifikat des Clients auch dem Intranator bekannt gemacht werden. Öffnen Sie dazu die Zertifikatsdatei (newkey_cert.cer) mit einem Texteditor (z.B. Wordpad) und übernehmen den gesamten Inhalt der Datei in die Zwischenablage.

  10. Öffnen Sie im Intranator das Menü System > Schlüssel > Fremde Schlüssel und legen einen neuen Schlüssel an. Vergeben Sie einen Namen für den Schlüssel (z.B. den Namen des Mitarbeiters) und fügen dann die Zertifikatsdaten aus der Zwischenablage in das Feld Copy & Paste Schlüssel ein.

  11. Als letztes muß der NCP Client noch das Zertifikat des Intranators bekommen. Öffnen Sie das Menü System > Schlüssel > Eigene Schlüssel auf dem Intranator und wählen das Zertifikat aus, das Sie für die Verbindung verwenden wollen. Über den Link Zertifikat exportieren im Reiter Daten kann das Zertifikat in eine Datei gespeichert werden. Speichern Sie Datei in das Verzeichnis des makecert-Programms unter dem Namen vpn_zentrale.pem.

  12. Das Zertifikat des Intranators muß nun vom PEM-Dateiformat in das für den NCP Windows Mobile Client geeignete DER-Format konvertiert werden. Starten Sie dazu folgenden Befehl im makecert-Programmverzeichnis: openssl x509 –in vpn_zentrale.pem –inform PEM –out vpn_zentrale.der –outform DER

  13. Öffnen Sie im Entry Configuration Manager WM das Menü Konfiguration, Übertrage CA Zertifikat zum mobilen Gerät. Kopieren Sie die vpn_zentrale.der-Datei auf das mobile Gerät. Es erscheint die Meldung Upload wurde erfolgreich durchgeführt.

Zurück Nach oben Weiter
29. Kapitel - VPN mit dem NCP Client für Windows Mobile Zum Anfang 29.3. Verbindungen
Produkte
Download
Kaufen
Support
Partner
Entwickler / Developer
Unternehmen
Pressemeldungen
Kontakt
© Intra2net AG 2012
Unternehmen     Impressum     Datenschutz     Kontakt