Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: Spyder2005 on May 22, 2018, 03:05:35 PM

Title: Zertifikate mit OpenVPN
Post by: Spyder2005 on May 22, 2018, 03:05:35 PM
Hallo zusammen,

ich benutze erfolgreich und sehr störungsfrei die Opnsense als OpenVPN Server, welche mit Zertifikaten arbeitet. Für jeden Benutzer werden dann eigene Zertifikate angelegt und diese auf die Clients kopiert (per Hand).

Die Benutzerzertifikate habe ich vom Serverzertfikat signiert. Das Serverzertfikat ist selbst signiert. Jetzt läuft das Serverzertifikat nächsten Monat aus. Das Laufzeitende der Benutzerzertifikate ist noch nicht erreicht? Wahrscheinlich wird aber schon keine Verbindung mehr möglich sein, nach Ablauf des Serverzertifikates, oder?

Was mache ich jetzt am Besten? Neues Serverzertifikat erstellen und dann alle Clientzertifikate neu erstellen und verteilen? Alten Server parallel laufen lassen? Neuen OpenVPN Server Instanz? Möchte nur unnötige Arbeit vermeiden.

Danke für eure Anregungen. Gruß
Title: Re: Zertifikate mit OpenVPN
Post by: theq86 on May 22, 2018, 08:50:20 PM
Hallo.

Sowohl das Server-Zertifikat als auch die Client-Zertifikate werden von der Zertifizierungsstelle (CA) signiert.

Läuft dein Server-Zertifikat aus, musst du ein neues erstellen und es von der CA signieren lassen.
Die Client-Zertifikate behalten ihre Gültigkeit, da sie ja von der selben CA kommen wie das Server-Zertifikat.

Läuft ein Client-Zertifikat ab bleibt ja das des Servers auch gültig.

Spezialfall: Läuft die Zertifizierungsstelle ab, muss eine neue angelegt werden. In diesem Falle müssen alle Server und Clientzertifikate erneuert werden.
Title: Re: Zertifikate mit OpenVPN
Post by: JeGr on May 27, 2018, 05:17:06 PM
> Spezialfall: Läuft die Zertifizierungsstelle ab, muss eine neue angelegt werden. In diesem Falle müssen alle Server und Clientzertifikate erneuert werden.

... was der Grund ist, warum das CA Zertifikat per default auf 10(?) Jahre ausgestellt wird :)
Title: Re: Zertifikate mit OpenVPN
Post by: Spyder2005 on June 04, 2018, 12:17:03 PM
Hey nasq,

danke für die gute Erklärung. Wenn ich allerdings ein neues Serverzertifikat über die GUI (Neues interes Zertifikat) erzeuge und dieses dann dem OpenVPN Server zuweise, kommen keine Verbindungen mehr zustande und es gibt Zertifikatsfehlermeldungen.

Meine CA läuft ab am 03. Jun 2019
und mein neues Serverzertifikat am 04. Jun 2019

Ist das vielleicht das Problem?

Werde wohl nicht umher kommen die CA nochmal vernünftig aufzusetzen und dann das Serverzertifikat und dann die Clientzertifikate neu zu verteilen.

Grüße
Text only | Text with Images