OpenVPN Client export schlägt fehl

[shb256]

Hi,

ich habe die aktuelle Opnsesnse laufen.
Ich habe vor längerer Zeit OpenVPN konfiguriert. Die Authentisierung ist mit Zertifikaten und Username/Passwort.
Grundsätzlich funktioniert alles.
ABER
nun laufen die Zertifiakate aus. Deswegen habe ich wie gewohnt unter Trust neue Client Zertfikate erstellt. - Alles Problemlos
Nun möchte ich unter OpenVPN -> Client Export die Konfiguration exportieren, suche mir das letzte erstellte Zertifikat raus und drücke auf Download
FEHLERMELDUNG: "Client certificate not found"

Alle "alten" Zertifikate kann ich problemlos nutzen.
Unter Trust-> Certificates, kann ich sowohl die alten als auch die neuen Zertfikate herunterladen.
Hat jemdend eine gute idee, wo das Problem liegt?

Danke

[viragomann]

Hallo,

Deswegen habe ich wie gewohnt unter Trust neue Client Zertfikate erstellt.

neue? "Reissue" wäre wohl die richtigere Methode gewesen.

EHLERMELDUNG: "Client certificate not found"

Alle "alten" Zertifikate kann ich problemlos nutzen.

Und wenn du die alten in Trust löscht?
Die Zertifikate sind ja über den CN mit dem User verknüpft. Vielleicht gibt es da ein Problem, wenn mehrere Zertifikate denselben CN haben.

Unter Trust-> Certificates, kann ich sowohl die alten als auch die neuen Zertfikate herunterladen.

Das wäre ja auch ein Workaround. Warum reicht dir das nicht?

[shb256]

Hallo,

>Das wäre ja auch ein Workaround. Warum reicht dir das nicht?
Das wäre die F-Lösung. Opnsense bietet ja die Möglichkeit ein komplettes ovpn File zu erstellen, das ganze per Hand zu machen, ist da nicht im sinne des Erfinders und Fehleranfällig und aufwendiger.

>neue? "Reissue" wäre wohl die richtigere Methode gewesen.
OK nun lerne ich wieder was dazu, an welcher Stelle kann ich selbst erstellt Zertifikate "Reissue"?
Die Zertifikate sind ja nicht über ACME erstellt. Die Commands bei Trust->Certificates sind "show certificate info", "download","edit","clone","delete"

>Die Zertifikate sind ja über den CN mit dem User verknüpft. Vielleicht gibt es da ein Problem, wenn mehrere Zertifikate denselben CN haben.
Tatsächlich habe die Zertifikate nicht mit dem Nutzer verknüft. Ich habe eine authentifikation gegen Radius, deswegen sehe ich ja auch keinen weiteren User

> wenn mehrere Zertifikate denselben CN haben
Das weiß ich auch nicht, ABER das war der richtig wink.
Ich weiß nicht was mich dazu geritten hat, aber ich habe schlichtweg den Common Name vergessen - vielleicht werde ich einfach nur senil

Danke

[viragomann]

Opnsense bietet ja die Möglichkeit ein komplettes ovpn File zu erstellen, das ganze per Hand zu machen, ist da nicht im sinne des Erfinders und Fehleranfällig und aufwendiger.

Gewiss, aber so wie ich es verstanden habe, geht es aktuell lediglich um neue Zertifikate. Aber ja, wenn du einen Client verendest, der Zertifikat und Key im .ovpn File braucht, wäre das kompliziert.

Die Zertifikate sind ja nicht über ACME erstellt. Die Commands bei Trust->Certificates sind "show certificate info", "download","edit","clone","delete"

Wenn du auf "edit" klickst, ist als Methode oben "Reissue and replace" standardmäßig ausgewählt.

Tatsächlich habe die Zertifikate nicht mit dem Nutzer verknüft.

So weit ich weiß, sollte der CN des User Zertifikats identisch mit dem Usernamen sein. So stellt OPNsense die Verknüpfung her.

> wenn mehrere Zertifikate denselben CN haben
Das weiß ich auch nicht, ABER das war der richtig wink.

Ich auch nicht. War eine Vermutung.

Grüße

[shb256]

>Wenn du auf "edit" klickst, ist als Methode oben "Reissue and replace" standardmäßig ausgewählt.

Das ist hexerei, das stand vorher nicht da, das hast du gerade erst dort hin gemacht...

Im ernst, das ist mir noch NIE aufgefallen.

Danke.