Ich versuche, eine IPSec-VPN-Verbindung mit x.509-Zertifikatauthentifizierung für Benutzer zu erstellen.

Was folgt, ist ein Test, um die Dinge in Gang zu bringen, und keine sichere Implementierung. Ich werde ein Zertifikat von einer vertrauenswürdigen Quelle erhalten, wenn ich dies zum Laufen bringe. In der Zwischenzeit verwende ich ein selbstsigniertes.

Ich verwende Windows 10 20H2

1- Ich erstelle ein Stammzertifikat mit XCA.

2- Ich erstelle eine Zertifikatsignieranforderung für beispielsweise meinen ersten VPN-Benutzer.

3- Ich unterschreibe die Anfrage bei XCA

4- Ich exportiere die Anfrage von XCA im PEM-Format

5- Ich installiere OpenSSL und setze die Umgebungsvariable OPENSSL_CONF auf die Datei openssl.cfg im Installationsordner. Ich habehttps://slproweb.com/products/Win32OpenSSL.html(64bit) für openSSL auf W10

6- Der Spaß beginnt.

Meines Wissens nach muss ich das Zertifikat in der Windows-Maschine über MMC in der Befehlszeile mithilfe des Snap-In-Zertifikats hinzufügen. Dieses Assistentending akzeptiert kein PEM-Format, sondern benötigt ein CRT.

Ich verweise dann auf OpenSSL zur Konvertierung der Formate

Wenn ich x509 -in CERT.pem -out CERTII.crt eingebe

Ich erhalte die folgende Fehlermeldung:

Can't open CERT.pem for reading, No such file or directory
15732:error:02001002:system library:fopen:No such file or directory:crypto\bio\bss_file.c:69:fopen('CERT.pem','r')
15732:error:2006D080:BIO routines:BIO_new_file:no such file:crypto\bio\bss_file.c:76:
unable to load certificate
error in x509

Ich habe ziemlich viel gesucht, kann aber keine genaue Bedeutung für diesen Fehler finden und überlege, mir als Alternative die Haare Stück für Stück auszureißen.

BEARBEITEN 2020-12-11 1600

Beim Umbenennen in .crt und Hinzufügen zu lokalen Zertifikaten trat ein Fehler auf:

file type is not recognizable. Select another file.

Auch wenn ich den vollständigen Pfad in der OpenSSL-Befehlszeile mit Administratorrechten angebe, erhalte ich eine Fehlermeldung.

Wenn ich beispielsweise das Zertifikat in den OpenSSL-Ordner kopiere und den Befehl „openssl x509 -in CERT.pem -out CERT.crt“ versuche, erhalte ich den folgenden Fehler:

"unable to load certificate
15252:error:0909006C:PEM routines:get_name:no start line:crypto\pem\pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
error in x509"

EDIT 2020-12-10 1610 - Ausschnitt des Zertifikats

-----BEGIN CERTIFICATE REQUEST-----
MIIDGjCCAgICAQAwgaExCzAJBgNVBAYTAkNBMQ8wDQYDVQQIEwZRVUVCRUMxEjAQ
....
hfz1ew0RTMxZv2hMlN/wn5Y0EZKpRr5jMrgZprG7
-----END CERTIFICATE REQUEST-----

Ich vermute, es sollte nicht als Anfrage, sondern als signiertes Zertifikat aufgeführt werden?

BEARBEITEN 10.12.2020 1626 EST

UnNamed hat mein Problem gelöst. Ein großes Lob an sie.

in XCA ist beim Signieren einer Anfrage nicht sofort klar, dass diese aus einer anderen Registerkarte, „Zertifikate“, exportiert werden muss.

Unter dem Stammzertifikat, das zum Signieren des Benutzerzertifikats verwendet wurde, befindet sich ein Dropdown-Menü mit dem SIGNIERTEN Benutzerzertifikat. Ich konnte es exportieren und problemlos zu MMC hinzufügen, nachdem ich darin eine benutzerdefinierte Ansicht für Zertifikate erstellt hatte.

Von hier aus fahren Sie mit der Einrichtung des VPN fort.