Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
IPSEC-VPN und öffentliches Zertifikat
« previous
next »
Print
Pages: [
1
]
Author
Topic: IPSEC-VPN und öffentliches Zertifikat (Read 552 times)
Pelikan Netzwerk
Newbie
Posts: 11
Karma: 0
IPSEC-VPN und öffentliches Zertifikat
«
on:
June 17, 2024, 02:27:04 pm »
Hallo,
ich möchte gerne Caddy auf meiner OPNsense nutzen. Soweit ich es verstanden habe, kann hier ein kostenloses SSL Zertifikat beantragt und genutzt werden. Kann das SSL Zertifikat welches ich über caddy erhalte, dann auch als öffentliches Zertifikat für IPSEC-VPN Verbindungen genutzt werden?
Danke für eure Hilfe.
Gruß
Andreas
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1601
Karma: 176
Re: IPSEC-VPN und öffentliches Zertifikat
«
Reply #1 on:
June 17, 2024, 04:55:15 pm »
Hallo,
nein das kann es nicht. Zertifikate die in Caddy generiert werden liegen nur im Dateisystem und können (ohne dass man manuell Hand anlegt) nur in Caddy verwendet werden.
Für IPsec sollte auch lieber ein selbstsigniertes Zertifikat genommen werden. Bei einem Let's Encrypt Zertifikat oder ZeroSSL Zertifikat kann sich das Intermediate Zertifikat ändern, was dann zu nicht funktionierenden VPN Verbindungen führt.
Bei einem selbstsignierten Zertifikat kann man sehr lange Laufzeiten für das eigene Root oder Intermediate Zertifikat wählen, sodass man es erst nach 10+ Jahren an allen Clients tauschen muss.
Logged
Hardware:
DEC740
Pelikan Netzwerk
Newbie
Posts: 11
Karma: 0
Re: IPSEC-VPN und öffentliches Zertifikat
«
Reply #2 on:
June 17, 2024, 05:07:57 pm »
Danke für die Rückmeldung!
Auch bei einem Let's Encryt Zertifikat müsste dann das Zertifikat auf allen Clients installiert werden, richtig? Immer wenn ein neues Zertifikat ausgestellt wird, müsste es dann auch wieder auf allen Clients installiert werden? In diesem Fall ist Dein Hinweis, lieber ein selbsterstelltes Zertifikat mit entsprechender Laufzeit zu verwenden, sicher richtig.
Gruß
Andreas
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1601
Karma: 176
Re: IPSEC-VPN und öffentliches Zertifikat
«
Reply #3 on:
June 17, 2024, 06:05:10 pm »
Auf den Clients wird das Root und (wenn vorhanden) Intermediate Zertifikat hinterlegt. Wenn sich das ändert muss es auf allen Clients getauscht werden.
Das damit ausgestellte Leaf Zertifikat wird in der OPNsense hinterlegt. Vergleiche mit der Anleitung hier:
https://docs.opnsense.org/manual/how-tos/ipsec-swanctl-rw-ikev2-eap-mschapv2.html#system-trust-authorities
Bei Let's Encrypt ist nicht garantiert, dass das Leaf Zertifikate immer die gleiche Zertifikatskette hat.
«
Last Edit: June 17, 2024, 06:06:51 pm by Monviech
»
Logged
Hardware:
DEC740
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
IPSEC-VPN und öffentliches Zertifikat