Zertifikate mit OpenVPN

Started by Spyder2005, May 22, 2018, 03:05:35 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 22, 2018, 03:05:35 PM
Hallo zusammen,

ich benutze erfolgreich und sehr störungsfrei die Opnsense als OpenVPN Server, welche mit Zertifikaten arbeitet. Für jeden Benutzer werden dann eigene Zertifikate angelegt und diese auf die Clients kopiert (per Hand).

Die Benutzerzertifikate habe ich vom Serverzertfikat signiert. Das Serverzertfikat ist selbst signiert. Jetzt läuft das Serverzertifikat nächsten Monat aus. Das Laufzeitende der Benutzerzertifikate ist noch nicht erreicht? Wahrscheinlich wird aber schon keine Verbindung mehr möglich sein, nach Ablauf des Serverzertifikates, oder?

Was mache ich jetzt am Besten? Neues Serverzertifikat erstellen und dann alle Clientzertifikate neu erstellen und verteilen? Alten Server parallel laufen lassen? Neuen OpenVPN Server Instanz? Möchte nur unnötige Arbeit vermeiden.

Danke für eure Anregungen. Gruß
May 22, 2018, 08:50:20 PM #1
Hallo.

Sowohl das Server-Zertifikat als auch die Client-Zertifikate werden von der Zertifizierungsstelle (CA) signiert.

Läuft dein Server-Zertifikat aus, musst du ein neues erstellen und es von der CA signieren lassen.
Die Client-Zertifikate behalten ihre Gültigkeit, da sie ja von der selben CA kommen wie das Server-Zertifikat.

Läuft ein Client-Zertifikat ab bleibt ja das des Servers auch gültig.

Spezialfall: Läuft die Zertifizierungsstelle ab, muss eine neue angelegt werden. In diesem Falle müssen alle Server und Clientzertifikate erneuert werden.
May 27, 2018, 05:17:06 PM #2
> Spezialfall: Läuft die Zertifizierungsstelle ab, muss eine neue angelegt werden. In diesem Falle müssen alle Server und Clientzertifikate erneuert werden.

... was der Grund ist, warum das CA Zertifikat per default auf 10(?) Jahre ausgestellt wird :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
June 04, 2018, 12:17:03 PM #3
Hey nasq,

danke für die gute Erklärung. Wenn ich allerdings ein neues Serverzertifikat über die GUI (Neues interes Zertifikat) erzeuge und dieses dann dem OpenVPN Server zuweise, kommen keine Verbindungen mehr zustande und es gibt Zertifikatsfehlermeldungen.

Meine CA läuft ab am 03. Jun 2019
und mein neues Serverzertifikat am 04. Jun 2019

Ist das vielleicht das Problem?

Werde wohl nicht umher kommen die CA nochmal vernünftig aufzusetzen und dann das Serverzertifikat und dann die Clientzertifikate neu zu verteilen.

Grüße
Print
Go Up Pages1
User actions