Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OpnVPN Frage zur Einrichtung
« previous
next »
Print
Pages: [
1
]
Author
Topic: OpnVPN Frage zur Einrichtung (Read 396 times)
xenon2008
Newbie
Posts: 39
Karma: 1
OpnVPN Frage zur Einrichtung
«
on:
July 30, 2024, 09:16:48 pm »
Nabend zusammen,
Ich bin gerade dabei nach der Opnsense Doku OPNVPN einzurichten & "hänge" da gerade beim erstellen des SSL VPN Serverzertifikates.
Also "hängen" nicht wirklich ich habe nur gesehen, dass die Default Gültigkeit des SSL Serverzertifikates auf 397 Tage vorab eingestellt ist.
Was ist denn wenn ich das so lasse, und das Zertifikat nächstes Jahr Ende August dann abläuft?
Kann ich das verlängern/renewen oder muss ich dann alle VPN Clients mit einer neuen Config inkl. neuem Zertifikat bestücken?
Weil bei der internen CA selbst welche ich im Schritt zuvor erstellt habe, war die Lebenszeit auch auf 365 Tage vorab eingestellt.
Aber die habe ich gleich auf 10 Jahre hochgedreht, weil ich mir dachte wenn die CA selbst abläuft, muss ich ja wirklich alles neu machen.
Und weil ich es gerade sehe, das selbe Frage ich mich natürlich dann auch bei den Clientzertifikaten.
Kann man die nach einem Jahr renewn ohne am Client ein neues Zertifikat einspielen zu müssen?`
Wie handhabt ihr sowas?
Welche Lebenszeit für welches Zertifikat vergebt ihr so?
Oder meint ihr, dass es besser wäre für das Server & das Client Zertifikat auch gleich 5 Jahre Lebendauer z.B. zu vergeben?
Sorry für die vielen Fragen, bin da noch eher neu in dem Bereich & möchte nicht gleich in einem Jahr alles neu machen müssen.
Außerdem möchte ich es ehrlich gesagt auch verstehen, was passiert wenn ich z.B. Server oder Client Zertifikat erneuern muss, oder es eben abläuft.
Danke & einen schönen Abend
xenon
Logged
mrk45k
Jr. Member
Posts: 53
Karma: 2
Re: OpnVPN Frage zur Einrichtung
«
Reply #1 on:
August 01, 2024, 11:56:25 pm »
Wäre doch eigentlich Sinnfrei ein Zertifikat manipulieren zu können.
Dann wäre doch die ganze Sicherheit dahin.
Du kannst Zertifikate nicht verlängern.
Man kann mehrere anlegen (z.B. nach einem Jahr ein neues) und die alten bei Bedarf revoken. Und vor Ablauf parallel betreiben.
Und ja, die clients müssen das auch mitgeteilt bekommen.
Nehm ein Ablaufdatum was dir passt.
Und wenn einer auf dein System will dann zu 99.9% nicht mit deinen Zertifikaten.
Das ist ja eher interresant das du weißt das du auf deine Maschine verbindest und nicht auf irgend einen Host.
Das Zertifikat alleine sollte ja nicht unbedint die einzigste Sicherheitsmaschinerie sein. Ein Passwort sollte mindestens auch noch inbegriffen sein.
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OpnVPN Frage zur Einrichtung