Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 932 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Net 2 Net - X.509 certifi. from asg220 to asg220

toette
hello everybody,

i have already created a net 2 net connection over psk (preshared key). i found a howto in the astaro knowledge base. but no information how to configure a net 2 net connection over x.509 certificates. 

can anyone tell me what i have to change at the existing psk-connection? what kind of certificates must i generate at fw1 and import on fw2l. what export-format should i use?

thanks for help 

toette


This thread was automatically locked due to age.
Parents
  • 0
    1. Generate a Certificate Authorities
    2. Generate a Certificate for local machine
    3. Sign this Certificate with your just made Certificate Authoritie
    4. Generate a Certificate for remote machine
    5. Sign this Certificate with your just made Certificate Authoritie
    6. Under local Keys, select the Cert for this machine
    7. Download remote Key as PKCS12 and import it to the remote box
    8. On the remote Box, lokal keys, select the cert
    9. under the IPSec connections, propertys for the net2net connection select the cert of the remote station instead of the psk key
  • 0 in reply to NimmdirKeks
    hello,

    thanks for the quick answer. at step 8 is a problem. i cannot select the remote certificate error "Could not load key, wrong passphrase?". but the passphrase is correct and i also tested the host certificate with the same error. do you have any idea?

    toette
  • 0 in reply to toette
    Hmm, scratching head.

    Astaro 1: 
    Need Certificate from Astaro 2 (Remote key)
    Need Certificate and Key from Astaro 1 (Local key)

    Astaro 2:
    Need Certificate and Key from Astaro2 (Local key)
    Need Certificate from Astaro 1 (Remote Key)

    When you export Key+Cert in a PKCS12 Container, you have to give the container an additional password, beside the passphrase for the key. 

    If you only need the Cert, than download it as pem. You will get a zip file, with the cert and the key (this is the private key, keep it secure).
  • 0 in reply to NimmdirKeks
    hello,

    i configured the tunnel how described. but the two firewalls try to get a connection without success. which remote certificates do you mean exactly? i created the certificates in "ca-management". under "remote-keys" they are shown as "ca-managed certificates". 
    is it correct or i have to create a remote key under the configuration point "remote-keys"? if i do this i see no possibility to export the certificate.

    thanks again for your help. 

    toette
  • 0 in reply to toette
    Try exporting the keys as DER encoded.  When you download them, they will be in a zip file that you will need to decompress before uploading them to the second ASG.  In addition, once both machines have their certificates go to IPSEC VPN | Local Keys and select the correct key for that box.
Reply
  • 0 in reply to toette
    Try exporting the keys as DER encoded.  When you download them, they will be in a zip file that you will need to decompress before uploading them to the second ASG.  In addition, once both machines have their certificates go to IPSEC VPN | Local Keys and select the correct key for that box.
Children
Cookie Information Banner