PC darf nur VPN mit gültigen Zertifikat aufbauen

Naja, Du kannst ja den Punkt Fernzugriff im Userportal ausblenden.

Nachdem die User sich im Portal anmelden, wird ja auch ein Profil mit Zertifikat erzeugt (AD Koppelung?), welches Du unter Webserver Protection -> Zerifikatsverwaltung herunterladen kannst.

Das User-Profil kannst Du dann dem SSL-Profil zuweisen.

Anschließend installierst Du die VPN-Software und weist die Konfig+Zertifikat manuell zu.

Hi,

und nochmals Danke. Den Punkt im Userportal habe ich nun gefunden.

Das Zertifikat für den User habe ich schon heruntergeladen, und den User auch schon dem VPN Profil zugewiesen.

Aber wie kann ich die VPN-Software oder konfigurationsdatei ohne Zertifikat herunterladen?

Und wie sag ich der Software, dass sie prüft ob das Zertifikat installiert wurde?

Hatte es auch schon mal mit der OpenVPN Software versucht und vom User die ovpn datei importiert,

aber das Zertifikat wurde nie benötigt, weil es anscheindend schon in der ovpn drin ist.

Ja, ich seh schon, langsam wirds kompliziert.

Einfacher wäre es vielleicht, den Punkt Fernzugriff im Userportal für die Installation der VPN-Software temporär zuzulassen. Du meldest den Benutzer im Beisein am Portal an, lädst den Installer herunter und installierst ihn. Anschließend deaktivierst Du den Punkt wieder.

FYI es geht auch ohne Anmeldung ins Portal als User.

Unter "Definitionen und User" - "User und Gruppen", über den Aktionen Button kann man die Software downloaden.

Das Problem ist, dass die Konfigurationsdatei unter Programme (x86)\Sophos\Spohos SSL VPN Client\config zu finden ist.
Die bräuchte man dann nur noch einem anderen PC in den openvpn Client zu importieren und schon kommt der andere PC auch rein.

Um unser Problem etwas genauer zu erklären.
Unsere Firma entwickelt für eine andere Firma Software und muss auf deren Server Programmteile testen.
Dafür müssen Sie wenn sie Homeoffice machen auch ins Netz von anderen der Firma.

Die lassen uns aber nur rein wenn wir sicherstellen das auf den PC ein Zertifikat installiert ist.
Sie nutzen eine Palo Alto Firewall und dort ist es wohl kein Problem dies einzurichten.

FYI es geht auch ohne Anmeldung ins Portal als User.

Unter "Definitionen und User" - "User und Gruppen", über den Aktionen Button kann man die Software downloaden.

Das Problem ist, dass die Konfigurationsdatei unter Programme (x86)\Sophos\Spohos SSL VPN Client\config zu finden ist.
Die bräuchte man dann nur noch einem anderen PC in den openvpn Client zu importieren und schon kommt der andere PC auch rein.

Um unser Problem etwas genauer zu erklären.
Unsere Firma entwickelt für eine andere Firma Software und muss auf deren Server Programmteile testen.
Dafür müssen Sie wenn sie Homeoffice machen auch ins Netz von anderen der Firma.

Die lassen uns aber nur rein wenn wir sicherstellen das auf den PC ein Zertifikat installiert ist.
Sie nutzen eine Palo Alto Firewall und dort ist es wohl kein Problem dies einzurichten.

Zum Palo Alto VPN:

Dieses Zertifikat kannst du nicht einfach exportieren und auf einem anderen PC verwenden?

Bzw wie wird denn sichergestellt dass nur auf diesem PC das Zertifikat installiert wird?

Ich habe zweifel ob das eine besser als das andere ist ;-)

If you enable TOP, you have 3-factor authentication;  certificate on PC, password, and O.T.P. code.  If you control access to the certificate install, and control access to O.T.P. synchronization, as suggested, it seems best-in-class security.