PGPnet
oder
"Die Konfiguration und Anwendung des VPN PGPnet"
Dieser Text geht vom Einsatz der PGP Version 6.5.X Personal Privacy
aus.
Bei der Installation von PGP 6.5.X kann die Option PGPnet
aktiviert werden.
Ist die Gesamtinstallation abgeschlossen, fragt PGP, welches
Netzwerkinterface an PGPnet gebunden werden soll, bzw. zeigt
das aktuell zu sichernde Netzwerkinterface an.
Das kann der DFÜ-Adapter (Modem, ISDN-Karte), die Ethernetkarte
oder ein RAS-WAN-Adapter sein.

Wenn die Netzwerkkonfiguration geändert, ein zusätzliches Netzwerkinterface eingebaut oder das aktuelle Netzwerkinterface ausgetauscht wurde, muss man anschliessend über Set Adapter im PGP Startmenü das Netzwerkinterface bestimmen und einen Neustart durchführen.
Ports
Bei parallelem Einsatz einer Firewall/Proxy müssen folgende Ports geöffnet sein:
- 500 UDP
- 51 TCP
- 50 TCP
User Interface
Expert Mode
der Neueintrag eines Rechners wird manuell durchgeführt, der Konfigurationsassistent
wird nicht benutzt
Security
Allow communications with unconfigured hosts
die Verbindung zu Rechnern, die nicht in PGPnet eingetragen sind,
ist immer möglich
Sollte aktiviert sein, wenn man sich im WWW zu einer Vielzahl von
Rechnern verbindet, die wenigen Rechner, zu denen man eine gesicherte
PGPnet Verbindung aufbauen möchte, werden dann in die Hostliste
eingetragen.
Require secure communications with all hosts
PGPnet versucht automatisch eine sichere Verbindung zum Kontaktrechner
aufzubauen.
Ist der Kontaktrechner nicht mit PGPnet ausgestattet, kommt keine
Verbindung zustande, es sei denn, er wurde als unsicherer Rechner
in die Hostliste eingetragen.
Diese Option ist sinnvoll, wenn sich der eigene Rechner in einer
Umgebung befindet, in der die meisten Zielrechner ebenfalls mit
PGPnet ausgestattet sind oder wenn sichere PGPnet Verbindungen bevorzugt
werden.
Require valid authentication key
PGPnet akzeptiert Keys von anderen Rechnern nur dann, wenn sie im
lokalen Keyring als valid (gültig) gekennzeichnet sind.
Auf der Cient Seite (z. B. dem heimischen Rechner) sollte die Option
aktiviert werden, dazu müssen dann alle Keys der Rechner und Server,
zu denen eine sichere PGPnet Verbindung aufgebaut werden soll, in
den Keyring aufgenommen und vom Benutzer verifiziert (d. h. nach
den Regeln des Web of Trust überprüft und signiert) werden.
Auf einem Server sollte die Option deaktiv bleiben, da es zu einer
Vielzahl von Verbindungen kommt und nicht alle PGP Keys der Anfragenden
verwaltet und verifiziert werden können.
Siehe auch Validity
Cache passphrases between logins
Vor der Verwendung von PGPnet muss sich der Benutzer in PGPnet "einloggen".
Wird diese Option aktiviert, speichert PGPnet die Passphrase während
einer Windows-Session.
Erst bei einem Neustart oder wenn man den Authentifizierungskey
löscht, wird der Passphrasespeicher geleert.
Expiration
Hier wird festgelegt, wie lange die Keys, die zum Aushandeln der Schlüsselaustauschmodalitäten (IKE-Keys) und die Keys, die zur Verschlüsselung und Authentifizierung (IPsec-Keys) und damit der Secure Associations, gültig sind.Dabei wird die restriktivere Einstellung einer der Kommunikationspartner vorrangig gültig, d. h. hat man selbst die Dauer auf einen Tag festgelegt, der Kommunikationspartner aber auf 30 Minuten, sind die Keys auch nur 30 Minuten gültig. Erreichen die Keys, bzw. eine SA ihren Verfallszeitpunkt, baut PGPnet automatisch eine neue SA auf.
Der Gültigkeits-Status ist aus dem Statusfenster von PGPnet ersichtlich.
Duration
Zeitdauer der Gültigkeit in X d (Tagen) Y h (Stunden) Z m (Minuten)
Megabytes
Zeitdauer (eher gesagt Mengendauer) der Gültigkeit in Megabytes
an Daten, die während einer SA übertragen wurden,
d. h. wenn bei einem Wert von 5 MB während einer SA, die nach Zeit
5 Tage gültig ist, nach 2 Tagen 5 MB übertragen wurden, verfällt
die SA.

PGPnet Keyring Files
Über diesen Dialog kann eine spezielle Public und Secret Keyringdatei für PGPnet bestimmt werden, die den Public und Secret Key enthalten, der PGPnet zur Authentifizierung des eigenen Rechners gegenüber dem Kontaktrechner dient.Über den Button Use My PGP Keyring Files wird der bestehende PGP Public und Secret Keyring in PGPnet Keyring Files eingetragen.
PGP Authentication
Will man PGP Keys zur Authentifizierung einsetzen, wird über den Button Select Key der PGP aus den PGPnet Keyringfiles bestimmt, der zur Authentifizierung dienen soll. Nach Auswahl des Keys muss die entsprechende Passphrase des Keys eingegeben werden. Die gleiche Passphrase wird jedesmal beim Login in PGPnet angefragt.Wichtig: Beide Kommunikationspartner müssen hier den gleichen Schlüsseltyp angeben und verwenden, also RSA oder DH.
Sollte sich das Problem einstellen, dass man zwar die schon vorhandenen Keyringdateien in PGPnet angegeben hat, aber daraus den vorhanden Public PGP Key nicht zum Authentifizierungs-Key bestimmen kann, bietet sich folgende Lösung an:
- mit PGPkeys einen neuen, nur für PGPnet vorgesehenen PGP-Key erzeugen und diesen mit dem schon vorhandenen, eigenen PGP-Key signieren
- die Keyringe auf der Festplatte kopieren, bzw. duplizieren und die Pfadangaben in den PGP Optionen auf die neuen PGPnet Keyringe setzen
- alle Keys bis auf den neuen PGPnet-Key und den PGP-Key löschen
- danach PGP wieder auf die eigentlichen Keyringe setzten und eventuell daraus den PGPnet-Key entfernen
- in den Optionen von PGPnet die Pfadangeben zu den Keyringen
zuerst auf die ursprünglichen Keyringe setzen und anschliessend
auf die neu erstellten PGPnet Keyringe.
PGPnet benutzt jetzt eigene Keyringe, während PGP die alten Keyringe benutzt.
X.509 Authentication
zur Authentifizierung wird ein X.509 Zertifikat, wie es von der
S/MIME Verschlüsselung und Signierung mittels S/MIME kompatiblen
Mailsystemen wie Outlook oder dem Netscape Messenger bekannt ist,
benutzt.
Zusätzlich zur Passphrase des PGP-Keys wird beim Login in PGPnet
die Passphrase des Zertifikats abgefragt.
Wichtig: Beide Kommunikationspartner müssen die
gleiche Root CA verwenden und das gleiche, von ihnen signierte und
mit grösstem Trustlevel versehene Root CA Zertifikat in ihrem PGPnet
Pubring haben(siehe unten).
X.509 Zertifikate Zertifikate sind digitale Dokumente, die die Bindung eines
Public Keys an eine Person,Organisation oder Firma attestieren,
so dass man über das Zertifikat prüfen kann, ob ein Public
Key zu dieser Einheit gehört. Siehe auch S/MIME, PKCS und X.509 |
Der Vorgang verkürzt:
Um die X.509 Authentifizierung zu benutzen, muss zunächst das X.509
Zertifikat der Root CA (Root Certification Authority - Wurzel- oder
Haupt-Zertifizierungsstelle) über einen Webbrowser heruntergeladen
und in den Pubring importiert, die Information zur Root CA in den
CA Optionen von PGP eingeben, eine Zertifikatsanfrage für den PGP
Key an die Root CA über PGP abgeben, das erhaltene Zertifikat dem
PGP-Key zugeordnet und abschliessend in PGPnet das erhaltene Zertifikat
zum Authentifizierungs-Zertifikat bestimmt werden.
Der Vorgang in Einzelschritten:
(bei Verwendung eines Net Tools PKI Servers, was immer das
auch sein mag)
- Das Root CA Zertifikat in den Pubring integrieren
- mit einem Webbrowser eine der Zertifizierungsstellen im WWW aufsuchen.
- auf der Seite, auf der die CA Zertifikate zum Download stehen, das Root CA Zertifikat anklicken
- die Detailinformationen des Zertifikats nach Beendigung des Ladens aufrufen und den Public Keyblock des Root CA Zertifikats kopieren und in PGPkeys über den Keyimportdialog in den Pubring importieren.
- das Root CA Zertifikat mit dem eigenen (PGPnet-) PGP-Key signieren und in den Key Properties den Trustlevel auf Maximum stellen.
- Die CA Optionen festlegen
- PGP Optionen im PGPtray aufrufen und Karteireiter CA auswählen
- die URL im Textfeld Certificate Authority eingeben, über die man das Root CA Zertifikat erhalten hat
- die URL im Textfeld Revocation URL eingeben, über die man die Certificate Revocation List (CRL) erhält, das sind Listen, in denen die Informationen über zurückgezogene Zertifikate gespeichert werden
- in der Type Liste den Namen der CA angeben, die man benutzt:
- NAI Net Tools PKI Server
- VeriSign OnSite (60 Tage Probezertifikat, sonst ca. 10 $/Jahr)
- Entrust (60 Tage Probezertifikate)
- Thawte (kostenlose Zertifikate mit Angabe von Adresse und Personalausweisnummer (die nicht überprüft wird)
- TC TrustCenter (kostenlose Class 1,2 und 3 Zertifikate)
Weitere CA´s, die X.509 Zertifikate ausstellen:
- über den Button Select Certificate das Root CA Zertifikat
auswählen.
Im Textfeld darunter erscheinen nun nähere Informationen zum Root CA Zertifikat, die von CA zu CA variieren können, da die Angaben abhängig von den Regelungen der CA sind:CN Common Name Beschreibung des Zertifikatstyps, z. B. "Root" EMAIL die E-mailadresse des Zertifikatseigentümers OU Organizational Unit die Abteilung der Organisation, zu der das Zertifikat gehört O Organization name der Name des Unternehmens, zu der das Zertifikat gehört L Locality z. B. die Stadt, in der der Zertifikatsinhaber seinen Sitz hat C Country der Staat, in dem der Zertifikatsinhaber seinen Sitz hat, z.B. "Germany" ST State z. B. der Bundesstaat oder das Bundesland, in dem der Zertifikatsinhaber seinen Sitz hat - das eigene Zertifikat anfordern
- in PGPkeys den gewünschten PGP-Key markieren und im Kontextmenü Add/Certificate anwählen
- im Dialogfenster Certificate Attributes können nun die Angaben ausgewählt werden, die später im Zertifikat enthalten sein sollen (siehe oben)
- im PGP Passphrase Fenster die Passphrase des PGP-Keys eingeben
- PGP verbindet sich jetzt mit dem CA Server, der in den CA Optionen unter Punkt 2 angegeben wurde und sendet die Anfrage, nachdem sich der CA Server gegenüber dem eigenen Rechner ausgewiesen hat
- das eigene Zertifikat in den Pubring aufnehmen
- nach Absendung der Zertifikatsanforderung erhält man eine Nachricht, dass das Zertifikat heruntergeladen werden kann
- in PGPkeys den entsprechenden PGP-Key markieren
- im Menü Server den Menüpunkt Retrieve Certificate anklicken, worauf sich PGP erneut mit dem CA Server verbindet, das Zertifikat herunterlädt und in den Pubring importiert
- die PGPnet Optionen aufrufen und im Karteireiter Authentification unter X.509 Authentification über den Button Select Certificate (siehe Abbildung oben) das erhaltene Zertifikat auswählen
Probleme
Wie aus der Auflistung der CAs ersichtlich, bieten die zwei CAs, die PGP vorschlägt nur 60 Tage Probezertifikate an, deshalb wurden sie von mir nicht getestet.Bei Thawte und TC TrustCenter kann man nicht den oben beschriebenen Weg gehen, da die beiden CA´s inkompatibel zum PGP System der Zertifikatsanforderung sind.
So muss man auf deren Webseiten zusätzliche Angaben und Passwörter angeben, ohne die ein Antrag erst gar nicht entgegengenommen wird. Die zusätzlichen Prüfverfahren über Rücksendung einer Prüf E-mail oder das Post-Ident Verfahren verhindern einen automatischen Zertifikatsimport, wie PGP ihn vorschlägt.
Was bleibt ?
Man muss zuerst bei Thawte oder TC Trustcenter auf herkömmlichen Wege, d. h. über deren Webseiten ein Zertifikat beantragen und anfordern und anschliessend das Zertifikat manuell in den Pubring "einpflegen"Vorgehensweise
- das Root CA Zertifikat der Zertifizierungsinstitution in den Web Browser installieren, dazu auf die Zertifikatsangebotsseite der CA gehen und die entsprechenden Links anklicken
- die Browser starten daraufhin einen Aufnahmevorgang, in dem man durch die Installationsprozedur geführt wird
- das Root CA Zertifikat anhand Fingerprints/Anruf bei der CA überprüfen
- über eine 128-bit SSL Verbindung auf der Webseite, auf der Angaben zur Identität und zur Zertifikatsanforderung gemacht werden, das Zertifikat anfordern
- nach Durchlaufen der Identitätsfeststellungsverfahren wie Post-Ident oder Rücksendung einer Authentizitätsnachricht per E-mail und dem Erhalt der E-mailbestätigung der CA, dass das Zertifikat zum Download bereitliegt, mit dem Web-Browser die angegebene Webseite aufsuchen und das persönliche Zertifikat in den Browser installieren
- das persönliche Zertifikat und das Root CA Zertifikat aus dem
Browser als Datei exportieren.
Dabei muss man beachten, dass das Zertifikat als PKCS-12 Zertifikat (Endung:pfx oder p12) oder als PEM (Internet Privacy-Enhanced Mail Standard, der wie PKCS der gesicherten elektronischen Datenübertragung dient) Zertifikat (Endung: pem) exportiert wird, da PGP nur Zertifikate, die in dieser Form vorliegen, importieren kann.
Desweiteren, dass sowohl Public als auch Secret Key des persönlichen Zertifikats und alle beteiligten Zertifikate mitexportiert werden - PGPkeys aufrufen und aus dem Explorer mit der Maus die exportierten PEM, PFX oder P12 Zertifikatdateien in das PGPkeys Fenster ziehen oder über das Menü Keys/Import das persönliche Zertifikat nach Eingabe der Passphrase und das Root CA Zertifikat in den Pubring importieren
- anschliessend den PGPnet PGP-Key mit dem persönlichen Zertifikat und das persönliche Zertifikat mit dem PGPnet PGP-Key signieren. Danach den Trustparameter des persönlichen Zertifikats und des Root CA Zertifikats auf Maximum stellen
- die PGPnet Optionen aufrufen und im Karteireiter Authentification unter X.509 Authentification über den Button Select Certificate (siehe Abbildung oben) das importierte persönliche Zertifikat auswählen

Allowed Remote Proposals
hier wird festgelegt, welche Verschlüsselungsalgorithmen, Hashalgorithmen, Datenkompression und Keylänge des Diffie-Hellmann Keys dem Kommunikationspartner zur Benutzung erlaubt sind.- Ciphers: CAST oder Triple-DES Algorithmus zur Ver- und Entschlüsselung
(siehe auch Kurzinfos zu verwendeten Algorithmen )
None: es wird keine Verschlüsselung eingesetzt - Hashes: SHA-1 oder MD5 Hash, der für den Authentifizierungsprozess
eingesetzt wird
(siehe auch Schlüssel)
None: es wird keine Authentizitätsprüfung eingebunden - Diffie-Hellmann: Keylänge des Diffie-Hellmann Keys, der für das Authenticated Diffie-Hellman Key Agreement Protocol (ein Abstimmungsverfahren, über das ein gemeinsamer Secret Key zweier Kommunikationspartner unter Hinzunahme von digitalen Signaturen und Public Key Zertifikaten gebildet wird) eingesetzt wird.
- Compression: LZS oder Deflate zur Kompression der Daten (sinnvoll bei Modem und ISDN Verbindungen, nicht sinnvoll bei Kabelmodem-, [A]DSL-, T-1- und T-3-Verbindungen)
Proposals
hier werden die eigenen Vorschläge, die man dem Kommunikationspartner zur Verschlüsselung und Authentifizierung der SA anbietet, festgelegt. Dazu kann man verschiedene Kombinationen aus zu verwendendem Verschlüsselungs- und Hashalgorithmus, Datenkompressionsart und Keylänge des Diffie-Hellmann Keys definieren.Eine Kombination muss mit den Einstellungen, die der Kommunikationspartner in seinen Allowed Remote Proposals festgelegt hat, harmonieren.
IKE
- Authentication (Authentifizierung mittels): RSA oder DSS Signatur oder eines Shared Key (gemeinsamer Key)
- Hash: SHA-1 oder MD5
- Cipher (Verschlüsselung mit): CAST oder Triple-DES
- DH (Diffie-Hellmann Keylänge): 1024 oder 1536-bit
IPSEC
- AH (Authentication Header): IPSec-Unterprotokoll, dass nur die Authentifizierung verschiedener Teile eines IP Headers über SHA-1 oder MD5 Hashes regelt
- ESP (Encapsulating Security Payload): IPSec-Unterprotokoll, dass die Verschlüsselung per CAST oder Triple-DES Algorithmus und die Authentifizierung per SHA-1 oder MD5 Hash regelt
- IPPCP (IP Payload Compression Protocol): Datenkompresssion per LZS oder Deflate
- Perfect Forward Secrecy: Keylänge des Diffie-Hellmann Keys für alle definierten IPSec Proposals
Anwendung über das PGPnet Fenster
Aufruf über PGPnet Systemtray/PGPnet/Status, Log und Hosts
Im Status Fenster werden alle SA´s mit Angaben zur Gültigkeitsdauer,
der Verschlüsselung und dem Ziel aufgelistet.
Das "Verhalten" einer SA wird durch die Optionen bestimmt,
die man in den Advanced Optionen von PGPnet festlegt (siehe oben).
Folgende Angaben können aus den Spalten des Statusfensters gewonnen werden:
Destination (Ziel) | die IP Adresse des Zielrechners und/oder Gatewayrechners |
Protocol (VPN Protokoll) | der Typ des miteinander ausgehandelten Protokolls: AH, ESP, IPCOMP |
Encryption (Verschlüsselung) | der Typ des miteinander ausgehandeltem Verschlüsselungsalgorithmus: CAST oder Triple-DES. Wenn die SA nur der Authentifizierung dient, ist die Spalte leer |
Authentication (Authentifizierung) | der Typ des miteinander ausgehandelten Authentifizierungsalgorithmus: HMAC MD5 oder SHA. Wenn im Proposal sowohl ESP als auch AH definiert sind, finden sich zwei Einträge |
Expires (Ablauf) | Datum und Uhrzeit, wann die SA ungültig wird, "Never", wenn die Gültigkeitsdauer allein auf durch die Menge der übertragenden Daten basiert. |
Max. Data | das Maximum an Daten in MB, das über die SA transportiert wird, bevor sie ihre Gültigkeit verliert. |

Das Log Fenster zeigt eine kurze Beschreibung aller Ereignisse
und Fehler an.
Über "Show Events" können Ereignisse die den Service,
IPSec, PGP und/oder das System betreffen an- oder ausgeschaltet
werden.
Über den Button "Save" kann der Inhalt des Logs als Textdatei
abgespeichert und über "Clear" der Inhalt des aktuellen
Logs gelöscht werden.
Time (Zeit) | Datum und Uhrzeit, wann das Ereignis/der Fehler eintrat |
Event (Ereignis) | Typ des Ereignisses: Service, IKE, IPSec, PGP, oder System |
Address (IP Adresse) | IP Adresse des Zielrechners |
Message (Nachricht) | ein Text, der eine kurze Beschreibung des aufgetretenen Ereignisses oder Fehler liefert |

Das Host Fenster zeigt alle Hosts (Einzelrechner), Gateways (Zwischen-, Firewall-, Proxyrechner) und Subnetze (IP Adressenbereich eines Netzes, der mehrere Einzelrechner einschliesst), zu denen auf gesichertem Wege einer SA oder in jedem Fall eine ungesicherte Verbindung aufgenommen werden soll:
Name | selbstgewählter Name des Subnetzes, Host- oder Gatewayrechners |
Address | IP Adresse des Hosts, Subnetzes oder Gateways |
Subnet | ist das Ziel ein Subnetz, wird hier die Netzmaske des Subnetzes angezeigt |
Authentication | der Typ der Authentifizierung als Icon
|
SA | Anzeige eines grünen Buttons, wenn eine SA zum Zielrechner besteht |
Erklärung der Buttons
Edit | Aufruf des Konfigurationsmenüs, in dem der Zielrechner näher konfiguriert wird |
Remove | Entfernung des Ziel Eintrags |
Add | Aktivierung des Konfigurationsassistenten zur Neuanlage eines Hosts, Subnetzes oder Gateways (im Expertenmodus wird sofort das Konfigurationsmenü gestartet) |
Connect/Disconnect | über "Connect" wird eine SA aufgebaut, "Disconnect" beendet die SA, wenn zuvor der entsprechende Hosteintrag markiert wurde |
das Konfiguration eines einzelnen Hosts (Zielrechner), eines Subnetzes oder Gateways
Hinweise Zur Vereinfachung sollte der Expertenmodus abgeschaltet sein.Wird PGPnet in einer Firmenumgebung eingesetzt, sollte die Host-Tabelle schon vom Netzwerkadministrator konfiguriert sein, da er über alle notwendigen Daten verfügt. Wird zur Authentifizierung eine gemeinsame Passphrase (Shared Secret) genutzt, muss die gleiche Passphrase auf dem Zielrechner konfiguriert sein. Je nachdem, wieviel Rechner und Subnetze einem TCP/IP Netz
zugeordnet sind, werden die IP-Adressen in die Klassen A bis
D unterteilt. Jeder Netzklasse ist eine Netzmaske zugeordnet.
|
Eintrag eines Hosts oder Subnetzes
- Button "Add"
- Button "Weiter"
- Checkbox "Host"
oder
Checkbox "Subnet"
aktivieren - "Enforce secure communications" - wenn gesicherte
Verbindungen (SA) verwendet werden
"Allow insecure communications" - wenn ungesicherte Verbindungen verwendet werden - im Textfeld eine Bezeichnung für den Host (Zielrechner) oder das Subnetz eingeben
- den Host Domain Namen oder die IP-Adresse des Hosts
(Zielrechners)
oder
die IP-Adresse und die Netzmaske des Subnetzes
eingeben - bei einer ungesicherten Verbindung:
- Fertig stellen
- "Use public-key cryptography only" - wenn die Authentifizierung nur über Public Keys durchgeführt werden soll
- Fertig stellen
- "First attempt shared secret security, then fall back to public-key cryptography" - wenn zuerst eine Authentifizierung über eine gemeinsame Passphrase versucht und danach erst auf Public Keys zurückgegangen werden soll
- Eingabe der gemeinsamen Passphrase in die Textfelder (die Passphrase wird im Klartext auf der Festplatte gespeichert)
- die Angaben festlegen, wie sich der eigene Rechner gegenüber
dem Zielrechner identifiziert:
IP address - mit der eigenen IP Adresse (000.000.000.000)
Host Domain Name - mit dem Namen des Rechners (host.domain.netz)
User Domain Name - mit der E-mail Adresse (user@host.domain.netz)
Distinguished Name - mit einem selbstdefinierten Textstrang, der sich an den Angaben eines Zertifikats anlehnt ("CN="user",_C=DE,_EMAIL=user@host.domain.netz") - Fertig stellen
Eintrag eines Gateways
- Button "Add"
- Button "Weiter"
- Checkbox "Gateway" aktivieren
- "Enforce secure communications" - wenn gesicherte
Verbindungen (SA) verwendet werden
"Allow insecure communications" - wenn ungesicherte Verbindungen verwendet werden - den Host Domain Namen oder die IP-Adresse des Gateways eingeben
- "Use public-key cryptography only" - wenn die Authentifizierung nur über Public Keys durchgeführt werden soll
- Fertig stellen
- "First attempt shared secret security, then fall back to public-key cryptography" - wenn zuerst eine Authentifizierung über eine gemeinsame Passphrase versucht und danach erst auf Public Keys zurückgegangen werden soll
- Eingabe der gemeinsamen Passphrase in die Textfelder (die Passphrase wird im Klartext auf der Festplatte gespeichert)
- die Angaben festlegen, wie sich der eigene Rechner gegenüber
dem Zielrechner identifiziert:
IP address - mit der eigenen IP Adresse (000.000.000.000)
Host Domain Name - mit dem Namen des Rechners (host.domain.netz)
User Domain Name - mit der E-mail Adresse (user@host.domain.netz)
Distinguished Name - mit einem selbstdefinierten Textstrang, der sich an den Angaben eines Zertifikats anlehnt ("CN="user",_C=DE,_EMAIL=user@host.domain.netz") - die Abfrage, ob jetzt ein Host oder Subnet, die hinter dem
Gateway liegen, mit dem Gatewayeintrag verbunden werden soll,
bejahen oder verneinen.
Bei der Bejahung der Abfrage startet der gleiche Dialog wie unter Eintrag eines Hosts oder Subnetzes,
bei Verneinung der Abfrage wird der Gateway sofort eingetragen und Host oder Subnet können später (siehe unten) hinzugefügt werden. - Fertig stellen
Eintrag eines Hosts oder Subnetzes, die sich hinter einem Gateway befinden
- das Gateway ist schon konfiguriert im Hosts Fenster vorhanden
- den Gatewayeintrag im Hosts Fenster markieren
- Button "Add"
- Button "Weiter"
- Checkbox "Yes (Create a new host entry which is behind the gateway XY)" aktivieren
- Checkbox "Host" oder "Subnet" aktivieren
- "Enforce secure communications" - wenn gesicherte
Verbindungen (SA) verwendet werden
"Allow insecure communications" - wenn ungesicherte Verbindungen verwendet werden - im Textfeld eine Bezeichnung für den Host (Zielrechner) oder das Subnetz eingeben
- den Host Domain Namen oder die IP-Adresse des Hosts
(Zielrechners)
oder
die IP-Adresse und die Netzmaske des Subnetzes
eingeben -
- "Use public-key cryptography only" - wenn die Authentifizierung nur über Public Keys durchgeführt werden soll
- Fertig stellen
- "First attempt shared secret security, then fall back to public-key cryptography" - wenn zuerst eine Authentifizierung über eine gemeinsame Passphrase versucht und danach erst auf Public Keys zurückgegangen werden soll
- Eingabe der gemeinsamen Passphrase in die Textfelder (die Passphrase wird im Klartext auf der Festplatte gespeichert)
- die Angaben festlegen, wie sich der eigene Rechner gegenüber
dem Zielrechner identifiziert:
IP address - mit der eigenen IP Adresse (000.000.000.000)
Host Domain Name - mit dem Namen des Rechners (host.domain.netz)
User Domain Name - mit der E-mail Adresse (user@host.domain.netz)
Distinguished Name - mit einem selbstdefinierten Textstrang, der sich an den Angaben eines Zertifikats anlehnt ("CN="user",_C=DE,_EMAIL=user@host.domain.netz") - Fertig stellen
Wenn zu einem späteren Zeitpunkt die Angaben zu einem Host, Subnetz
oder gatewayeintrag verändert werden müssen, kann man entweder den
entsprechenden Eintrag im Hosts Fenster doppelt anklicken oder man
klickt den "Edit" Button an.
Daraufhin öffnet sich das Editorfenster:

Hier kann ein DNS Lookup durchgeführt, der Status des Eintrags
und die Authentifizierungsmethode abgeändert werden.
Im Abschnitt Remote Authentication kann für einen
Eintrag zwingend vorgeschrieben werden, welchen PGP-Key oder welches
X.509 Zertifikat der Rechner verwenden muss, um eine SA zum eigenen
Rechner aufbauen zu können.
Präsentiert der andere Rechner einen falschen Key oder ein falsches
Zertifikat, wird eine SA dem Partner verweigert.
Wurde als Option die Erfordernis von validen Keys
angegeben, muss der Key nach Überprüfung und Signierung als valid
im Public Keyring gekennzeichnet sein, andernfalls kommt auch keine
SA zustande.