Hallo ITler,
ich habe mal eine Frage zum Thema Zertifikate.
Es geht um folgendes: Für eine VPN Lösung (TMG, IPSec over L2TP) benötigt der Rechner, der sich einwählen möchte, ein Computerzertifikat. Dieses Zertifikat wird bisher via IE auf dem Rechner selbst an der internen Zertifikatsstelle beantragt, dort ausgestellt und kann dann lokal installiert werden. Durch den Export und anschließenden Import findet das Zertifikat dann Platz unter den eigenen Computerzertifikaten. Die Einwahl funktioniert.
Für den Beantragungsprozeß ist im IE ein ActiveX Control zu aktivieren. Das wird wohl in Zukunft nicht mehr möglich sein.
Aus diesem Grund such ich gerade einen alternativen Weg zum Beantragen.
Den habe ich auch gefunden. Mit einer INF Datei erstelle ich ein Request, den ich dann an der CA via Submit new request stelle und genehmige, dort anschl. in eine Datei exportiere (.CER) und dann wieder lokal am Client installiere.
Und genau hier habe ich ein Problem. Wenn ich den Request am selben Rechner stelle und anschl. importiere, dann ist alles okay. Wenn ich den Request allerdings auf einem anderen Rechner für den Rechner erstelle, funktioniert die Einwahl nicht. Ich denke, das hat damit zu tun, dass der private key nicht zum Rechner passt, für den schlußendlich das Zertifikat ist. Ich komme allerdings nicht auf die Lösung.
Hier das INF Request File:
[NewRequest]
Subject = "CN=FQDN des Rechner"
KeySpec = 1
KeyLength = 1024
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft Enhanced RSA and AES Cryptographic Provider"
ProviderType = 24
RequestType = CMC
KeyUsage = 0xf0
[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.8.2.2 ; IKE security IKE intermediate
Habt Ihr eine Idee, wie ich das lösen kann, dass ich auch auf einem Rechner für einen anderen Rechner ein passendes Computerzertifikat beantragen kann, was auch für die Einwahl angenommen wird?
Schonmal vielen Dank für Eure Mühen.
Viele Grüße, Anastasia