Beschreibung:
Dieses Dokument beschreibt, wie Sie ein selbstsigniertes Zertifikat erstellen können, welches zur Nutzung von zertifikatsbasierten VPN-Verbindungen mit der LANCOM Common Criteria Produktserie verwendet werden muss.


Voraussetzungen:
  • aktuelle XCA-Software (Download)
  • aktuelle Version von OpenSSL für Windows (Download)
  • LANCOM Router aus der Common Criteria Produktserie
    • 1781A CC
    • 1781-4G CC
    • 1781A-3G CC
    • 1781A-4G CC
    • 1781EF CC
    • 7100+ CC
    • 9100+ CC


Vorgehensweise:
1. Erstellen der Zertifikatsdatenbank:
1.1 Starten Sie XCA und klicken Sie auf Datei -> Neue Datenbank.
1.2 Stellen Sie den Pfad zu dem Ordner ein, in dem Sie die Datenbankdatei speichern möchten und vergeben Sie einen Namen für die Datenbankdatei. Klicken Sie dann auf Speichern.
1.3 Vergeben Sie im nächsten Dialog ein Passwort für die Datenbank und klicken Sie dann auf OK.



2. Erstellen eines selbstsignierten Zertifikats:
2.1 Wechseln Sie auf die Registerkarte Zertifikate und klicken Sie auf die Schaltfläche Neues Zertifikat.
2.2 In diesem Beispiel wird ein selbst signiertes Zertifikat mit der Seriennummer 1 erstellt. Wählen Sie als Signatur Algorithmus SHA1 aus.
2.3 Wechseln Sie auf die Registerkarte Inhaber und erstellen Sie zunächst einen privaten Schlüssel für das Zertifikat, indem Sie auf die Schaltfläche Erstelle einen neuen Schlüssel klicken.
2.4 Vergeben Sie einen Namen für den privaten Schlüssel (z.B. LANCOM_CC). Stellen Sie dann noch den Schlüsseltyp und die Schlüssellänge ein. In diesem Beispiel wird RSA-Verschlüsselung mit einer Schlüssellänge von 2048 bit verwendet. Klicken Sie dann auf Erstellen.
2.5 Die erfolgreiche Erstellung des privaten Schlüssels wird Ihnen mit einer Meldung angezeigt.
2.6 Geben Sie in den Feldern Interner Name und organizationName entsprechende Namensbezeichnungen ein.
2.7 Klicken Sie auf die Schaltfläche Hinzufügen und stellen Sie dann im Dropdown-Menü auf der linken Seite der Liste den Wert commonName ein. Im rechten Feld müssen Sie dann nochmal die Namensbezeichnung eintragen (hier: LANCOM).
2.8 Klicken Sie erneut auf die Schaltfläche Hinzufügen und stellen Sie dann im Dropdown-Menü auf der linken Seite der Liste den Wert organizationName ein. Im rechten Feld müssen Sie dann nochmal die Namensbezeichnung eintragen (hier: LANCOM).
2.9 Wechseln Sie auf die Registerkarte Erweiterungen und wählen Sie im Feld Typ den Wert End-Instanz aus. Aktivieren Sie im Bereich Key Identifier die Optionen Subject Key Identifier und Authority Key Identifier.
2.10 In den Bereichen Gültigkeit und Zeitspanne müssen Sie den Gültigkeitszeitraum für das Zertifikat festlegen.
2.11 Die Konfigurationsschritte sind damit abgeschlossen. Klicken Sie auf OK um das selbstsignierte Zertifikat zu speichern.



3. Exportieren des Zertifikats:
3.1 Wechseln Sie auf die Registerkarte Zertifikate und markieren Sie das im Schritt 2 erstellte Zertifikat. Klicken Sie dann auch die Schaltfläche Export.
3.2 Exportieren des Zertifikats in eine PKCS12 Datei:
Geben Sie im folgenden Dialog den Dateinamen für das Zertifikat an. Als Exportformat müssen Sie PKCS12 auswählen. Klicken Sie dann auf OK.
Info:
Zusätzlich muss die Datei auch als PEM -Datei ab gespeichert werden , um daraus im nächsten Schritt eine PKCS12 Datei erstellen zu können, die lediglich den Public Key enthält . Diese Datei ist dann für die VPN-Gegenstelle gedacht, da sie keinen privaten Schlüssel enthält.
3.3 Exportieren des Zertifikats in eine PEM-Datei
Geben Sie im folgenden Dialog den Dateinamen für das Zertifikat an. Als Exportformat müssen Sie PEM auswählen. Klicken Sie dann auf OK.



4. Erstellung einer PKCS12-Datei mit Public-Key und ohne Private Key auf Basis der gespeicherten PEM-Datei
4.1 Starten Sie OpenSSL und geben Sie an der Eingabeaufforderung folgenden Befehl ein:
openssl pkcs12 -export -out <Laufwerksbuchstabe>:\<Dateiname>.p12 -in <Laufwerksbuchstabe>:\<Dateiname>.crt -nokeys
Beispiel:
openssl pkcs12 -export -out C:\LANCOM.p12 -in C:\LANCOM.crt -nokeys
4.2 Wenn Sie den Befehl eingegeben haben, müssen Sie ein Passwort für die PKCS12-Datei vergeben.
4.3 Nachdem Sie das Passwort vergeben haben, ist der Export des Public Keys in eine PKCS12-Datei (ohne Private Key) abgeschlossen.
Am Ende erhalten Sie 2 PKCS12-Dateien. Eine PKCS12-Datei bestehend aus dem kompletten Zertifikat (Public & Private Key => Erstellt via Exportfunktion XCA) und eine weitere PKCS12-Datei (nur Public Key => Erstellt mit OpenSSL) für die Gegenseite, die dann unser Zertifikat bei einer eingehenden VPN Verbindung gegenprüfen kann.

Info zur Verdeutlichung der Zertifikate und deren Nutzung für eine VPN Verbindung:

  • Private Key = Geheimer Schlüssel (Privat)
  • Public Key = Öffentlicher Schlüssel für die Gegenseite