2.7.2. Methoden der Authentifizierung

Bevor Sie versuchen eine Roadwarrior oder Net-to-Net VPN Verbindung zu konfigurieren, ist es nötig, Pre-Shared Key/Passworte/Pass Phrase oder ein X.509 Zertifikat zu haben. Dies alles sind Methoden um einen Benutzer, der einen VPN-Zugriff versucht, zu identifizieren. Diese Angaben werden für den VPN Konfigurationsschritt benötigt.

2.7.2.1. Pre-shared Key

Die Pre-shared Key Authentifizierungsmethode oder kurz PSK ist eine sehr einfache Art um VPN-Verbindungen schnell einzurichten. In dieser Methode geben Sie eine Authentisierungsphrase ein. Das kann eine beliebige Zeichenkette sein — ähnlich wie ein Passwort. Diese Phrase muss auf dem IPCop und dem VPN-Client angelegt sein.

Die PSK Methode benötigt weniger Schritte als eine Authentisierung mit Zertifikat. Sie kann zum Testen eines VPN's und dem Aufbau des eigenen Grundverständnisses für eine VPN-Verbindung benutzt werden.

Die Pre-shared Key Methode sollte nicht für Roadwarrior Verbindungen genutzt werden, da alle Roadwarrior-Clienten den selben Schlüssel verwenden müssen.

2.7.2.2. X.509 Zertifikate

X.509 Zertifikate sind ein sehr sicherer Weg um VPN-Server zu verbinden. Um X.509 Zertifikate zu benutzen, müssen Sie diese auf dem IPCop erstellen oder einrichten oder eine andere Zertifizierungsstelle in Ihrem Netzwerk einsetzen.

X.509 Terminologie

Die X.509 Zertifikate auf dem IPCop und in vielen anderen Implementierungen werden durch OpenSSL geändert und kontrolliert. SSL, auch Secure Sockets Layer genannt, hat eine eigene Terminologie.

X.509 Zertifikate, abhängig von ihrem Typ, können öffentliche und private Verschlüsselungs-Key's, Authentisierungsphrasen und Informationen über das Objekt, auf das sie sich beziehen, enthalten. Diese Zertifikate sind dafür bestimmt durch eine Zertifizierungsstelle (Certificate Authority oder CA) überprüft zu werden. Zertifikate von kostenpflichtigen CA's werden in einen Webbrowser hineinkompiliert. Um ein Hostzertifikat zu überprüfen, wird das Zertifikat an die entsprechende CA weitergeleitet. In privaten Netzen oder einzelnen Rechnern kann die CA auch auf einem lokalen Rechner sein. Im Falle von IPCop ist das die IPCop-Firewall selbst.

Zertifikationsanfragen sind Anfragen für X.509 Zertifikate, die an eine CA weitergereicht werden. Die CA selbst erstellt ein X.509 Zertifikat durch Signierung der Anfrage. Diese werden nun dem Anfrager als X.509 Zertifikate zurückgesandt. Dieses Zertifikat ist nun der CA bekannt, weil sie es signiert hat.

Sie werden sehen, dass X.509 Zertifikate und Anfragen in drei verschiedenen Formaten, normalerweise durch die Dateierweiterung erkannnt, auf Ihrer Festplatte abgespeichert werden können. Das PEM-Format ist der Standard für OpenSSL. Es enthält alle dem Zertifikat zugeordneten Informationen in einem druckbaren Format. Das DER-Format enthält nur die Schlüssel und keine zusätzlichen X.509 -Informationen. Das ist auch das Standard-Format für die meisten Browser. Das PEM-Format umhüllt die DER-Format-Schlüssel mit Kopfzeilen-Infos. PKCS#12, PFK oder P12 Zertifikate enthalten die gleichen Informationen im Binär-Format. Mit dem openssl-Kommando lassen sich PEM und PKCS#12-Dateien in das jeweils andere Format übersetzen.

Um ein Zertifikat zu benutzen, müssen Sie es auch in die CA der Gegenseite importieren. Die IPsec Implementation vom IPCop enthält eine eigene CA. CA's können auch auf Roadwarrior-Maschinen laufen.

Falls die Roadwarrior IPsec-Implementation über keine CA-Fähigkeiten verfügt, können Sie eine Zertifikat-Anfrage erstellen, so dass diese nach dem Importieren in IPCop von dessen CA signiert werden kann, um nach dem Export des resultierenden Zertifikats und Wiederimport in die Roadwarrior IPsec-Software dort zur Verfügung zu stehen.