Hallo,
ich validiere gerade den Gebrauch von OPNSense FW für unser Systemhaus.
Zum Aufbau einer IPSEC VPN Verbindung muss ich ein P12 Zertifikat, welches von unserer RZ FW generiert wird, benutzen.
Leider finde ich nirgends eine Möglichkeit diese zu importieren. Übersehe ich da was?
Leider bietet unsere RZ FW keine Möglichkeit das Zertifikat unverschlüsselt aus zu geben, so dass ich den Private Key auch nicht per Hand eingeben kann.
Gibt es da eine Möglichkeit? Sonst wäre die OPNSense bei uns leider schon wieder raus :-(
Du kannst jederzeit P12 Zertifikate mit entsprechenden Tools in PEM-Dateien konvertieren bzw. die Inhalte (Zertifikat, Zertifikatskette, Privater Schlüssel) extrahieren, z.B. mit openssl. Dieses Tool ist auch unter der OpnSense CLI verfügbar, es gibt aber m.W. keine Möglichkeit, P12 / PFX über die GUI zu importieren.
Danke für die Info! Das wäre dann etwas umständlich :-(
Quote from: MartinBarthel on September 02, 2025, 10:50:11 AMDanke für die Info! Das wäre dann etwas umständlich :-(
Mach ich aber auch so.
So oft wirst du das nicht benötigen.
OpenSSL gibt es für fast alle OS. Eine Anleitung für das Umwandeln des Formats bzw. das Exportieren von Zertifikat oder Schlüssel ist rasch im Netz gefunden.
Zertifikate verwalten ist nichts für Laien, richtig. Wenn diese Hürde allerdings tatsächlich bereits ein Ausschlusskriterium für OpnSense ist, dann ist es auch nicht das richtige Produkt für Euch. Da warten noch wesentlich komplexere Themen...
(Ist nicht herablassend gemeint)
Alles gut... man muss nur gucken wieviel Arbeit ein Produkt in der Massen macht, wenn man von mehreren hundert FWs redet. Da ist einfacher halt immer besser.
Hab jetzt ein Script erstellt, womit auch Ottonormal Techniker das Zertifikat splitten kann....
Habs jetzt aber einmal ausprobiert, das wahre Problem scheint aber woanders zu liegen
Aufgrund alter FW im RZ müssen wir noch IPSEC IKCv1 nutzen.
Das scheint aber in der Konstellation mit Zertifikaten nicht zu funktionieren.
Das Internet oder das Forum spuckt dazu auch nicht viel aus :-(
Mutual RSA sollte doch richtig sein.
Das CA Zertifikat und das Client Zertifikat hab ich importiert.
Wähle ich eine andere auth. Methode als RSA aus, findet ein verbindungsversuch statt, den ich im RZ auch sehen kann. So bricht der Vorgang direkt ab, weil "mutual RSA" nicht supportet ist?
Mach ich was grundlegend falsch?