Zertifikatsbasierte VPNs (PKI): Enrollment, CRL/OCSP und Betriebsprozesse

Zertifikatsbasierte VPNs ersetzen Pre-Shared Keys durch eindeutige, kryptografisch geprüfte Identitäten. Das ist in großen Umgebungen der entscheidende Vorteil: Kein „Shared Secret“ für 100+ Standorte, saubere Rotation, klare Ownership und bessere Auditierbarkeit. Der Preis ist Prozessdisziplin: Enrollment (Zertifikatsausstellung), Trust Chain (CA/Intermediate), sowie Revocation (CRL/OCSP) müssen zuverlässig funktionieren – sonst scheitern IKEv2-Verbindungen scheinbar „zufällig“ bei Rekeys oder nach Zertifikatswechseln. Dieser Artikel erklärt PKI-basierte VPNs praxisnah: Enrollment-Varianten, CRL/OCSP-Design und Betriebsprozesse, die im Alltag stabil laufen.

Warum PKI statt PSK: Governance gewinnt

PSKs sind schnell, aber organisatorisch riskant: Key-Leaks, unklare Rotation, große Blast Radius. PKI kapselt Identität pro Gerät/Standort. Ein kompromittiertes Zertifikat kann gezielt revoked werden, ohne alle anderen Peers anzufassen.

• Skalierung: pro Device ein Zertifikat statt ein globaler PSK
• Rotation: planbar und automatisierbar
• Revocation: kompromittierte Geräte selektiv sperren
• Audit: klare Nachvollziehbarkeit (CN/SAN, Seriennummer)

PKI-Bausteine: CA, Intermediate, Trustpoint, Identity

In Cisco-Welten ist der zentrale Begriff der Trustpoint: Er beschreibt, welcher CA du vertraust, wie Enrollment erfolgt und welche Zertifikate/CRLs genutzt werden. Das Gerät nutzt das Zertifikat als IKEv2-Identität (typisch über Subject/SAN).

• Root CA: oberste Vertrauensinstanz (offline empfohlen)
• Intermediate CA: operative CA für Ausstellungen
• Trustpoint: Cisco-Objekt für CA-Vertrauen und Enrollment
• Identity: CN/SAN (FQDN, IP, URI) als Matching-Attribut

Merker

VPN mit PKI = Trust Chain + Identity Match + Revocation Check

Enrollment-Optionen: SCEP, EST, manuell (CSR)

Enrollment ist der Weg, wie ein Router sein Zertifikat bekommt. Für große Flotten willst du automatisiertes Enrollment (SCEP/EST). Manuelles CSR ist ok für Pilot/Einzelfälle, skaliert aber schlecht.

• SCEP: weit verbreitet, gut unterstützt, aber älter
• EST: moderner, bessere Security-Properties, oft bevorzugt wenn verfügbar
• Manuelles CSR: höchste Kontrolle, aber hoher Betriebsaufwand

Vorbereitung: Keypair, Clock, FQDN – sonst wird es später teuer

Viele PKI-Probleme sind keine Crypto-Probleme, sondern „Basics“: falsche Uhrzeit (Zertifikat „not yet valid“), kein stabiler Hostname/FQDN, oder inkonsistente Identity-Matches. Das muss vor Enrollment sauber sein.

• NTP/Zeitsync: Pflicht (sonst Validity/OCSP/CRL bricht)
• Stabiler Hostname/FQDN für SAN/CN
• RSA/ECDSA Keysize nach Policy (und Plattform-Fähigkeit)

NTP Pattern

ntp server 192.0.2.10
clock timezone CET 1 0

Cisco Trustpoint: Grundmuster für Zertifikats-Enrollment

Das Muster ist: Trustpoint definieren, Enrollment-URL setzen, Keypair erzeugen, Zertifikat enrollen, CA-Chain importieren. Die konkrete URL und Policy hängt von deiner PKI ab.

Trustpoint (SCEP/EST Pattern)

crypto key generate rsa general-keys modulus 2048 label KEYPAIR-VPN
crypto pki trustpoint TP-ENTERPRISE-CA

enrollment url http://pki.example.local/scep

subject-name CN=R1.example.local

revocation-check crl

rsakeypair KEYPAIR-VPN

Enrollment starten

crypto pki authenticate TP-ENTERPRISE-CA
crypto pki enroll TP-ENTERPRISE-CA

IKEv2 mit Zertifikaten: Identity Matching sauber designen

Mit Zertifikaten authentifizierst du nicht „mit einem Key“, sondern mit einer Identity. Best Practice ist Matching über FQDN im Subject Alternative Name (SAN) oder über definierte Certificate Maps. „Match any“ ist bei PKI eine Sicherheitslücke.

• Matching über FQDN (SAN) pro Site/Peer
• Certificate Maps für Gruppen (z. B. Branch-OU)
• Klare Trennung: Branch-Profile vs. Partner-Profile

IKEv2 Profile (Pattern, Zertifikate)

crypto ikev2 profile IKEV2-PROF-PKI
 match identity remote fqdn *.branch.example.local
 authentication remote rsa-sig
 authentication local rsa-sig
 pki trustpoint TP-ENTERPRISE-CA
 dpd 10 3 on-demand

Revocation: CRL vs. OCSP – was im Betrieb wirklich zählt

Revocation ist das Herzstück der Sicherheit: Ein kompromittiertes Zertifikat muss ungültig gemacht werden. CRL (Certificate Revocation List) ist eine Liste, OCSP ist eine Online-Abfrage. Operativ sind beide nur so gut wie ihre Erreichbarkeit und Caching-Strategie.

• CRL: periodisch geladen, gut cachebar, aber „stale window“ möglich
• OCSP: aktueller, aber abhängig von Online-Erreichbarkeit des Responders
• Fail-Open vs. Fail-Close: Policy-Entscheidung mit Betriebsimpact

Revocation Trade-off (vereinfacht)

Security ↑  ⇔  Availability ↓   (bei striktem Fail-Close)

CRL Design: Distribution Points und Cache-Strategie

Damit CRL zuverlässig funktioniert, muss der Router die CRL Distribution Points erreichen können (HTTP/LDAP). In WAN-Designs ist das ein häufiger Fehler: VPN soll hochkommen, aber CRL ist nur intern erreichbar – ein klassisches Bootstrapping-Problem. Lösung: CRL/OCSP-Erreichbarkeit über Underlay sicherstellen.

• CRL-URL muss ohne VPN erreichbar sein (Underlay!)
• Redundante CRL-Hosts (HA) und stabile DNS-Namen
• Monitoring: CRL-Age und Fetch-Fehler

CRL Status prüfen (Cisco)

show crypto pki certificates
show crypto pki crls
show crypto pki trustpoints

OCSP Design: Online-Responder, Timeouts, Erreichbarkeit

OCSP ist operativ empfindlicher: Wenn der OCSP Responder nicht erreichbar ist, müssen Router wissen, wie sie reagieren sollen. In großen Netzen ist ein lokales OCSP-Cache/Responder pro Region oft sinnvoll, um Latenz und Ausfälle zu reduzieren.

• OCSP Responder muss hochverfügbar sein
• Routing/DNS zur OCSP-URL muss ohne VPN funktionieren
• Timeouts und Retries bewusst setzen

Betriebsprozesse: Rotation, Renewal, Rollback

PKI wird stabil, wenn du Renewal und Rotation als geplanten Prozess betreibst. Kritisch ist das Zusammenspiel aus Zertifikatsgültigkeit, Rekey-Events und Revocation. Ein sauberer Prozess verhindert „plötzliche“ Ausfälle.

• Renewal Window: z. B. 30–60 Tage vor Ablauf automatisieren
• Change-Plan: Zertifikat tauschen, SAs neu aufbauen, Monitoring beobachten
• Rollback: altes Zertifikat/Keypair kurzzeitig parallel verfügbar halten (wenn möglich)

Key-Rollover und „Double Trust“ Übergänge

Bei CA-Wechseln (neue Intermediate, neue Root) brauchst du Übergangsphasen, in denen beide Chains akzeptiert werden. Sonst brechen Peers in der Migrationsphase. Plane „double trust“ bewusst und zeitlich begrenzt.

• Neues Intermediate früh importieren, bevor es aktiv genutzt wird
• Beide Trustpoints/Chains zeitweise akzeptieren
• Nach Cutover: altes Vertrauen entfernen (Härtung)

Troubleshooting: PKI-VPNs schnell eingrenzen

PKI-Probleme wirken häufig wie „IKEv2 broken“. Debugge deshalb in Schichten: Uhrzeit, Zertifikatskette, Revocation, Identity Match, dann erst IKE/IPsec SAs. Viele Fehler sind sofort sichtbar, wenn du Zertifikatsdetails anschaust.

Basischecks

show clock
show crypto pki certificates
show crypto pki trustpoints
show crypto pki crls

IKE/IPsec Checks

show crypto ikev2 sa
show crypto ipsec sa

Häufige Fehlermuster

• Zeit falsch → Zertifikat „not yet valid“ oder „expired“
• CA Chain fehlt → „unknown authority“
• CRL/OCSP unreachable → Auth fail (je nach Policy)
• Identity Match falsch → Peer wird nicht dem richtigen Profil zugeordnet

Operational Best Practices: PKI als Produkt betreiben

In großen Umgebungen ist PKI nicht „einmal konfigurieren“, sondern ein Service. Wenn du PKI wie ein Produkt betreibst (SLA, Monitoring, Runbooks), werden zertifikatsbasierte VPNs extrem stabil.

• NTP überall, ohne Ausnahme
• CRL/OCSP hochverfügbar und unterlay-erreichbar
• Standardisierte Zertifikat-Profile (SAN/FQDN, OU/Tags)
• Automatisiertes Renewal und Reporting (Ablaufwarnungen)

Quick-Runbook: PKI-VPN Incident (Copy & Paste)

Diese Checkliste trennt in wenigen Minuten „PKI-Problem“ von „IPsec-Problem“.

show clock
show crypto pki trustpoints
show crypto pki certificates
show crypto pki crls
show crypto ikev2 sa
show crypto ipsec sa

Konfiguration speichern

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.