In diesem Dokument wird veranschaulicht, wie der Cisco VPN Client 3.x so konfiguriert wird, dass er ein digitales Zertifikat erhält.
Für dieses Dokument bestehen keine speziellen Anforderungen.
Die Informationen in diesem Dokument basieren auf einem PC, auf dem Cisco VPN Client 3.x ausgeführt wird.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).
Führen Sie diese Schritte aus, um den VPN-Client zu konfigurieren.
Wählen Sie Start > Programme > Cisco Systems Inc. VPN-Client > Certificate Manager aus, um den VPN Client Certificate Manager zu starten.
Wählen Sie die Registerkarte Persönliche Zertifikate aus, und klicken Sie auf Neu.
Hinweis: Computerzertifikate zur Authentifizierung von Benutzern für VPN-Verbindungen können nicht mit IPsec erstellt werden.
Wenn Sie vom VPN-Client zur Eingabe eines Kennworts aufgefordert werden, geben Sie ein Kennwort zum Schutz des Zertifikats an. Bei jeder Operation, die Zugriff auf den privaten Schlüssel des Zertifikats erfordert, muss das angegebene Kennwort eingegeben werden, um fortzufahren.
Wählen Sie File (Datei) aus, um ein Zertifikat im PKCS #10-Format auf der Anmeldeseite anzufordern. Klicken Sie anschließend auf Weiter.
Klicken Sie auf Durchsuchen, und geben Sie einen Dateinamen für die Zertifikatsanforderungsdatei an. Wählen Sie als Dateityp die Option PEM Encoded Request File (*.req) aus, und klicken Sie auf Save.
Klicken Sie auf der Seite "VPN Client Enrollment" auf Weiter.
Füllen Sie die Felder im Anmeldeformular aus.
Dieses Beispiel zeigt die Felder:
Common Name = User1
Abteilung = IPSECCERT (Dies muss mit der Organisationseinheit (OU) und dem Gruppennamen im VPN 3000-Konzentrator übereinstimmen.)
Unternehmen = Cisco Systems
State = NorthCarolina
Land = USA
E-Mail = User1@email.com
IP-Adresse = (optional) wird verwendet, um die IP-Adresse auf der Zertifikatsanforderung anzugeben. )
Domain = cisco.com
Klicken Sie abschließend auf Weiter.
Klicken Sie auf Fertig stellen, um mit der Registrierung fortzufahren.
Wählen Sie die Registerkarte Registrierungsanfragen aus, um die Anforderung im VPN Client Certificate Manager zu überprüfen.
Stellen Sie den CA-Server (Certification Authority) und die VPN-Client-Schnittstellen gleichzeitig ein, um die Anfrage zu senden.
Wählen Sie Zertifikat anfordern aus, und klicken Sie auf Weiter auf dem CA-Server.
Wählen Sie Erweiterte Anforderung für die Art der Anfrage aus, und klicken Sie auf Weiter.
Wählen Sie unter Erweiterte Zertifikatsanforderungen eine unter Base64 verschlüsselte PKCS #10-Datei oder eine Verlängerungsanfrage unter Verwendung einer Base64-kodierten PKCS #7-Datei einreichen aus, und klicken Sie dann auf Weiter.
Markieren Sie die VPN Client-Anforderungsdatei, und fügen Sie sie unter "Gespeicherte Anforderung" auf den CA-Server ein. Klicken Sie anschließend auf Senden.
Stellen Sie auf dem CA-Server das Identitätszertifikat für die VPN-Client-Anforderung aus.
Laden Sie die Root- und Identitätszertifikate auf den VPN-Client herunter. Wählen Sie auf dem CA-Server die Option Auf ausstehendem Zertifikat prüfen aus, und klicken Sie dann auf Weiter.
Wählen Sie Base 64-verschlüsselt aus. Klicken Sie dann auf Zertifizierungsstellenzertifikat herunterladen auf dem CA-Server.
Wählen Sie eine Datei aus, die Sie von der Seite Zertifikat oder Zertifikatswiderrufliste abrufen möchten, um das Stammzertifikat auf dem CA-Server abzurufen. Klicken Sie anschließend auf Weiter.
Wählen Sie Certificate Manager > CA Certificate > Import on the VPN Client aus, und wählen Sie dann die Root CA-Datei aus, um die Root- und Identitätszertifikate zu installieren.
Wählen Sie Zertifikatsmanager > Persönliche Zertifikate > Importieren aus, und wählen Sie die Identitätszertifikatdatei aus.
Stellen Sie sicher, dass das Identitätszertifikat auf der Registerkarte "Persönliche Zertifikate" angezeigt wird.
Stellen Sie sicher, dass das Stammzertifikat auf der Registerkarte Zertifizierungsstellen angezeigt wird.
Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.
Wenn Sie versuchen, sich beim Microsoft CA Server anzumelden, kann diese Fehlermeldung generiert werden.
Initiating online request Generating key pair Generating self-signed Certificate Initiating online request Received a response from the CA Your certificate request was denied
Wenn Sie diese Fehlermeldung erhalten, finden Sie weitere Informationen in den Microsoft CA-Protokollen oder in diesen Ressourcen.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
19-Jan-2006 |
Erstveröffentlichung |