OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • Zertifikate für OpenVPN automatisch anlgen
« previous next »
  • Print
Pages: [1]

Author Topic: Zertifikate für OpenVPN automatisch anlgen  (Read 1662 times)

esserda

  • Newbie
  • *
  • Posts: 4
  • Karma: 0
    • View Profile
Zertifikate für OpenVPN automatisch anlgen
« on: January 08, 2021, 08:27:28 am »
Hallo zusammen,

hat jemand Erfahrung mit OPNsense und OpenVPN? Ich würde gerne Zertifikate und die VPN Config Dateien automatisiert anlegen lassen, sobald ein neuer Benutzer bspw. in eine Active Directory angelegt wurde. Gibt es für sowas Möglichkeiten?

Gruß esserda
Logged

JeGr

  • Hero Member
  • *****
  • Posts: 1945
  • Karma: 227
  • old man standing
    • View Profile
Re: Zertifikate für OpenVPN automatisch anlgen
« Reply #1 on: January 12, 2021, 05:46:42 pm »
Da OpenVPN einfach x509 SSL Zertifikate nutzt, ist es relativ egal, WO diese erstellt werden. Solange du die entsprechende CA und zumindest ein Server Zertifikat für den OVPN Server in die Sense importierst, kannst du die Client Zertifikate und Konfigs egal wo erstellen, solange die Konfiguration passt und korrekt ist. Wenn du das also auf Microsoft Seite durchskripten willst, ist das auch möglich. Macht ein Kunde von uns auch so. CA und Server Zert auf Sense, CA selbst aber auf nem Domaincontroller vorhanden und durchgeskriptet, dass beim Einloggen via Startskript Leute ihre Konfig inkl. Zertifikat auf ihre Laptops/PCs gepusht bekommen. :)

Cheers
\jens
Logged
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.

Zoki

  • Newbie
  • *
  • Posts: 19
  • Karma: 0
    • View Profile
Re: Zertifikate für OpenVPN automatisch anlgen
« Reply #2 on: January 12, 2021, 06:14:57 pm »
Das kann man so recht einfach machen, aber es bleibt das Problem der Certificate revocation, wenn ein Mitarbeiter ausscheidet.

Hier ist eine Idee, wie man das auch automatisieren kann: https://forum.opnsense.org/index.php?topic=12966.0

Eine Alternative wäre eine sehr kurze Laufzeit des Zertifikats und mit dem Risiko leben. Solange die Verteilung der Zertifikate gut genug automatisiert ist, merkt der Benutzer nichts davon.
Logged

JeGr

  • Hero Member
  • *****
  • Posts: 1945
  • Karma: 227
  • old man standing
    • View Profile
Re: Zertifikate für OpenVPN automatisch anlgen
« Reply #3 on: January 12, 2021, 06:24:33 pm »
Revocation ist dann ein Problem wegen externer/fehlender CRL. Mag korrekt sein.

Aber das auf das Ausscheiden des Mitarbeiters (bspw.) festzumachen halte ich für Praxisfern. Kein Mitarbeiter der ausscheidet bekommt aus meiner Erfahrung heraus "nur" sein VPN abgedreht, kann sich aber nach wie vor einloggen. Normalerweise ist sogar eher der Account disabled bevor jemand an ein etwaiges Zertifikat denkt ;) Daher ist für die meisten der Einsatzzweck zu verschmerzen, weil hier das Zertifikat lediglich ein 2. Faktor darstellt, aber nicht das Haupt-Authentifizierungsmerkmal. Wenn man natürlich Maschinenaccounts mit Autologin mit Zert-only fährt, bekommt das Ganze sicherlich eine andere Größe - dann möchte man CRLs definitiv nutzen :)
Logged
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • Zertifikate für OpenVPN automatisch anlgen
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2