Beschreibung:
Bei einem Umzug auf einen neuen Router müssen neben der Konfiguration auch die VPN-Zertifikate übertragen werden. Es besteht die Möglichkeit ein SCEP-CA Backup zu erstellen. Darin ist aber nur die CA selber enthalten, nicht aber die VPN-CA und die VPN-Zertifikate.
In diesem Artikel ist beschrieben wie die VPN-Zertifikate nach dem Hochladen des SCEP-CA Backups auf dem neuen Router mittels Smart Certificate neu generiert werden können. Somit können bestehende VPN-Verbindungen weiterhin verwendet werden.


Voraussetzungen:
  • LANCOM Central Site Gateway, WLAN Controller oder LANCOM Router mit aktivierter VPN 25-Option.
  • Die VPN-CA und damit auch die VPN-Zertifikate wurden auf dem alten Router durch die im Router integrierte CA erstellt.


Vorgehensweise:
1. Arbeitsschritte auf dem Quell-Gerät:
1.1 Erstellen Sie zuerst eine Skript-Sicherung des alten Routers. Die Vorgehensweise ist in diesem Knowledge Base Artikel beschrieben.
1.2. Auf dem LANCOM Router, von welchem die CA (Certification Authority) übernommen werden soll, muss zunächst eine Sicherung der CA durchgeführt werden. Die Sicherung wird auf dem Router gespeichert.

1.2.1 Öffnen Sie eine SSH-Sitzung auf dem Router und führen Sie folgenden Befehl aus:

do /Setup/Certificates/SCEP-CA/CA-certificates/Create-PKCS12-Backup-Files <passwort>

Als <passwort> können Sie ein beliebiges Passwort vergeben. Das Passwort wird benötigt, weil sich Zertifikatscontainer nur mit einem Passwort auf einem LANCOM einspielen lassen.

1.2.2 Geben Sie anschließend den Befehl ls /Status/File-System/Contents ein. Hiermit können Sie überprüfen, ob die Backup-Dateien erfolgreich angelegt wurden. Folgende Dateien müssen angelegt sein:

  • scep_ca_backup
  • scep_ra_backup

1.3. Im nächsten Schritt müssen Sie jeweils die Dateien für das CA- & RA-Backup, die SCEP-CA-Zertifikatsliste und die SCEP-CA-Seriennummer vom Router herunterladen und auf der Festplatte Ihres PC oder einen externen Datenträger speichern (siehe Grafik).
  • Dies können Sie z.B. per WEBconfig über den Menüpunkt Dateimanagement → Zertifikat oder Datei herunterladen durchführen.
  • Wählen Sie als Dateityp die Option SCEP-CA - One Click-Backup aus. Alle benötigten Dateien werden mit dieser Methode in eine Datei mit der Bezeichnung "scep_download_oneclick_backup" exportiert.

    Bitte verwenden Sie dazu einen regulären Browser und nicht den in LANconfig integrierten Browser. Alternativ kann das Herunterladen auch mit LANconfig durchgeführt werden.



2. Arbeitsschritte auf dem Ziel-Gerät:
Das Ziel-Gerät muss sich im Werkszustand befinden. Dieses darf also nicht im Vorfeld konfiguriert werden.
Die Konfiguration des alten Routers darf zu diesem Zeitpunkt noch nicht in das neue Gerät hochgeladen werden!
2.1 Öffnen Sie WEBconfig und verwenden Sie die Funktion Dateimanagement → Zertifikat oder Datei hochladen.
2.2 Wählen Sie als Dateityp die Option SCEP-CA - One Click-Backup aus und geben Sie im Feld Dateiname den Pfad zur Datei "scep_download_oneclick_backup" an, welche Sie in Schritt 1.3 gespeichert haben.
2.3 im Feld Passwort muss das Passwort eingegeben werden, welches Sie in Schritt 1.2 vergeben haben.
2.4 Laden Sie zuletzt die in Schritt 1.1 erstellte Skript-Sicherung des alten Routers in das neue Gerät.
Anhand der Einträge in der CA-Tabelle und der Zertifikat-Tabelle unter Zertifikate → SCEP-Client wird mit der importierten CA neben der VPN-CA ein bzw mehrere neue(s) VPN-Zertifikat(e) erstellt.

Die Seriennummern der CAs unterscheiden sich zwar. Da der Modulus sowie die X509v3 Extensions beider CAs übereinstimmen, können auf dem neuen Router VPN-Zertifikate erstellt werden, mit denen eine VPN-Verbindung mit bestehenden Gegenstellen aufgebaut werden kann.




Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH