Moin Liste,
ich bin gerade mal wieder schwer mit meinem Buch zugange. Dabei ist
mir aufgefallen, dass anscheinend OpenSSL, certpatch (isakmpd) und
ikecert (Solaris) alle nicht in der Lage sind, in den
X.509-Zertifikaten ein subjectAltName mit einer IPv6-Adresse
einzutragen. Damit funktioniert IKE(v1/v2) für IPv6 nicht mit einem
PKI-Setup, wenn ich IPv6-Adressen in die Zertifikate schreiben will.
Hat das von Euch schonmal jemand ausprobiert, und vielleicht sogar ans
Laufen gebracht? Ich habe irgendwo das Gefühl, dass ich einfach nur
Tomaten auf den Augen habe, weiss aber langsam nicht mehr, wo ich noch
weiter suchen soll.
Mir ist klar, dass ich mit preshared secrets oder DNS-Namen in den
Zertifikaten arbeiten kann, aber preshared secrets skalieren nicht und
DNS-Namen setzen mindestens erstmal ein sicheres DNS voraus, was eine
reichlich starke Annahme ist. Deshalb will ich im Moment die
IP-Adressen in die Zertifikate schreiben.
Viele Grüße,
Benedikt
--
Benedikt Stockebrand, Dipl.-Inform. Freelance IT System Architect
http://www.benedikt-stockebrand.de/ always looking for a contract
Unix (all flavours), TCP/IP, IPv6, IT Security, Unix Operations Training
Performance and High Availability Tuning, Large Scale Systems Design
_______________________________________________
ipv6 mailing list
[email protected]
http://listserv.uni-muenster.de/mailman/listinfo/ipv6
