VPN-Installation unter Windows XP
Einrichten des VPN-Tunnels
Wählen Sie unter Systemsteuerung -> Netzwerkverbindungen -> Neue Verbindung erstellen. Im erscheinenden Verbindungs-Assistenten wählen Sie "Verbindung mit dem Netzwerk am Arbeitsplatz erstellen". Danach "VPN-Verbindung" auswählen und einen Namen für die VPN-Verbindung ( z.B. Informatik ) vergeben. Für den dann abgefragten Ziel-Host ist fbivpn.informatik.uni-hamburg.de (bzw. 134.100.5.65) einzutragen, anschließend "Fertig stellen" anklicken.
Es erscheint nun bereits das Anmelde-Fenster für die VPN-Verbindung, hier müssen aber einmalig noch für einen erfolgreichen Verbindungsaufbau bestimmte Optionen gesetzt werden. Wählen Sie dafür "Eigenschaften der VPN-Verbindung" aus. Unter "Optionen" aktivieren Sie "Windows-Anmeldedomäne einbeziehen". Unter dem Reiter "Netzwerk" kontrollieren Sie bitte, dass der VPN-Verbindungstyp auf "automatisch" eingestellt ist.
Die VPN-Verbindung ist jetzt eingerichtet, bitte beachten Sie, dass bei der Anmeldung unbedingt die Domäne "INFORMATIK" anzugeben ist.
Hinweis: Bei der Auswahl des VPN-Typs "automatisch" wird ein PPTP-Tunnel für die VPN-Verbindung genutzt. Die PPTP-Verschlüsselung gilt allgemein als schwächer als ein IPSec-Tunnel. Wenn Sie den alternativ möglichen Verbindungsaufbau eines L2TP/IPSec bevorzugen, befolgen Sie bitte die folgenden Anleitungsschritte. Bitte beachten Sie allerdings, dass es bei dem komplexen IPSec-Protokoll zu technischen Schwierigkeiten kommen kann, insbesondere bei Zugriffen von Heimrechnern über DFÜ-Verbindungen!
Alternative Installation von L2TP/IPSec
Das IPSec-Protokoll ist bei Microsoft im Betriebssystem Windows XP fester Bestandteil der Installation und hier dann auch vollständig integriert.
Installation des Authentifizierungs-Zertifikats
Der WinXP-IPSec-Dienst benutzt einen speziellen Computer-Zertifikatsspeicher des Betriebssystems.
Installationsablauf bei Windows XP:
Die Installation des Zertifikates erfolgt hier nicht für einen Benutzer, sondern für den Computer selbst.
Melden Sie sich als lokaler Administrator an Ihrem Notebook an.
Stellen Sie mit dem aktuellen Internet Explorer eine WWW-Verbindung zum zentralen Zertifikatsserver unter der Adresse https://rzpc1.informatik.uni-hamburg.de/certsrv her.
Sie werden vom Zertifikatsserver aufgefordert, sich zu authentisieren, verwenden Sie hier Ihre in der Informatik gültige Benutzerkennung und das dazugehörige Kennwort. Im Feld Domäne geben Sie bitte "INFORMATIK" an. Wenn kein Eingabefeld Domäne angeboten wird, müssen Sie hier Ihren Benutzernamen in der Notation "INFORMATIK\benutzername" angeben.
Unter den angebotenen drei Tasks wählen Sie zunächst den dritten Punkt, "Download a CA Certificate, Certificate Chain, or CRL ".
Auf der nun erscheinenden Formular-Seite wählen Sie bitte gleich den ersten Link oben auf der Seite: "Install this CA certificate chain". Sie erhalten eine Rückmeldungs-Seite mit der Bestätigung "The CA certificate chain has been successfully installed".
Kehren Sie durch zweimaliges Betätigen des IE-Back-Knopfes auf die Task-Seite des Zertifikatsservers zurück und wählen Sie nun den ersten Punkt, "Request a certificate" und drücken Sie wieder den "next"-Button.
Sie erhalten nun eine Formular-Seite für die Auswahl des "Request Types"; wählen Sie hier den zweiten Punkt "Advanced certificate Request".
Auf der nun erscheinenden Formular-Seite "Advanced Certificate Request" wählen Sie den ersten Auswahl-Punkt "Submit a certificate request to this CA".
Es erscheint eine komplexe Formular-Seite. Unter der "Certificate Template"-Auswahlliste wählen Sie den Eintrag "User". Unter "Key Options":
- wählen Sie CSP: Microsoft Base Cryptographic Provider v1.0;
- ändern Sie den "Key Size" auf 1024;
- selektieren Sie die Auswahl-Box "Store certificate in the local computer certificate store".
Alle übrigen Parameter dieses Formulars bleiben auf den voreingestellten Werten. Scrollen Sie an das untere Ende der Seite und betätigen Sie den "submit"-Button.
Nach Erstellung des Zertifikats durch den Server sollten Sie nun als letzte Formular-Seite die "Certificate issued"-Seite angezeigt bekommen. Betätigen Sie hier nun den Link "Install this certificate".
Abschließend sollten Sie noch die Meldung Your new certificate has been successfully installed" erhalten. Sie können den Internet-Explorer nun beenden.
Leider wird nach den neuesten Sicherheitspatches von Microsoft das unter (1-5) installierte CA-Zertifikat (welches die Zertifizierungsstelle selbst verifiziert) nicht mehr im Computer-Zertifikatsbereich abgespeichert, sondern im Zertifikatsbereich des Benutzers lokaler Benutzer, welcher ja die Anforderung über das WWW-Formular durchgeführt hat. Sie müssen daher dieses CA-Zertifikat manuell in den Computer-Zertifikatsbereich kopieren.
Öffnen Sie dazu eine MMC-Konsole (Start->Ausführen->mmc) und fügen Sie in dieser einmal ein Zertifikats-SnapIn für den Computer und einmal für den aktuellen Benutzer hinzu (Menü Konsole->SnapIn hinzufügen/ entfernen->Hinzufügen->Zertifikate, dort in der Auswahlbox Computerkonto wählen, anschließend nochmals Hinzufügen->Zertifikate und eigenes Benutzerkonto wählen). Anschließend mit OK bestätigen. Es werden nun unter Konsolenstamm die beiden Ordner Zertifikate -- Computerkonto und Zertifikate -- eigenes Benutzerkonto angezeigt.
Expandieren Sie beide Ordner soweit, dass Sie die Unterordner Vertrauenswürdige Stammzertifizierungsstellen->Zertifikate geöffnet haben. Sie sehen in diesen Ordnern jeweils eine Reihe von vorinstallierten Zertifikaten öffentlicher Zertifizierungsstellen. Im Bereich des aktuellen Benutzers finden Sie zusätzlich das CA-Zertifikat Uni Hamburg, FB Informatik.
Wählen Sie das CA-Zertifikat Uni Hamburg, FB Informatik und kopieren Sie dieses in den Zwischenspeicher (rechte Maustaste/Touchpad-Button -->kopieren). Wählen Sie nun den entsprechenden Bereich unter Computerkonto und fügen Sie hier das CA-Zertifikat aus der Zwischenablage ein (rechte Maustaste/Touchpad-Button --> einfügen).
Beenden Sie die MMC-Konsole und fahren Sie mit der Konfiguration des VPN-Tunnels fort.
