OpenVPN Benutzerzerzertifikat geölscht aber Benutzer kann sich dennoch anmelden

[schwaima]

Hallo,

habe von meinem VPN-Benutzer das Benutzerzerifikat gelöscht. Trotzdem kann ich mich noch vom Client anmelden.

Was muss man machen damit das nicht mehr geht?

Firewall wurde neugestartet, in den VPN-Server Einstellungen steht Remote Access (SSL/TLS + User Auth )

Das unbenutzte Zertifikat wurde auch aus Trust gelöscht.

[superwinni2]

Zertifikate werden nicht automatisch "deauthorisiert" sobald diese gelöscht werden.


CRL ist das Zauberwort

[schwaima]

Danke für deine Antwort,

leider hatte ich, ja wie geschrieben, das Benutzerzerifikat schon gelöscht. Ich hab es trotzdem mal ausprobiert indem ich das Backup eingespielt habe. Hat geklappt. Ich finde aber das ist keine schöne Lösung. Werde die ganze CA löschen und neu anlegen, dann ist das Problem auch weg und ich hab das Zertifikat da raus.

Danke und kann geschlossen werden.

[superwinni2]

Gerne


Nur um das klar zu stellen (auch für spätere Leser):
Wie bereits geschrieben: Wenn du das Zertifikat löscht, wird es nicht deauthorisiert.
Durch das Backup hast du somit das Zertifikat wiederhergestellt? Bringt wzwar nichts aber in Ordnung...


Zum Thema "keine schöne Lösung":
Das ist aber nun mal wie der Hase läuft.


Um das alles verständlicher zu machen:
(Aufgrund der Komplexität lasse ich das mit Start und Ablaufdatum und so Kleinigkeiten mal sein)


Du hast eine CA (ein Rathaus) jenes Zertifikate (Ausweise) ausstellt.
Wenn das Zertifikat (dein Ausweis) ausgestellt und herausgegeben ist, kann dein CA (Rathaus) dieses auch löschen (das Rathaus wirft deinen Ausweis weg, da du ihn ja nun hast / Was will das Rathaus auch damit? Wenn du ihn verlierst, wird ein neuer ausgestellt).
Es wird davon ausgegangen, dass aufgrund der Fälschungssicherheit (Wasserzeichen im Ausweis etc.) das Zertifikat (dein Ausweis) immer gültig ist und die CA (Rathaus) dem immer entsprechend zustimmen wird.
Nun kommst du in eine (Polizei)kontrolle und es wird kontrolliert ob du auf der CRL Liste stehst (ob der ausweis eigentlich ungültig sein sollte weil du gesucht wirst oder einen neuen angefordert hast oder warum auch immer).
Solange dies nicht der Fall ist, ist das Zertifikat immer gültig.

[schwaima]

Hallo,

wieso bringt das nichts? Ich kann doch nur das Zertifikat was nicht gelöscht ist in die CRL Liste stecken um es zu deautorisieren.

Und zum Thema der unschönen Lösung. Ich bleib dabei. Wie in deinem Beispiel ist ja die Polizei und das Rathaus die selbe Instanz. Das Rathaus weiß ja welcher Ausweiß noch gültig ist.

Ich verstehe aber den Sinn dahinter von OpenVPN. So müssen eben diese Dienste nicht auf der Selben Instanz laufen.

Bida

[superwinni2]

Achso... Jetzt verstehe ich was du geschrieben hast... Klar funktioniert es

Jedoch kann es unter bestimmten Konstellationen dazu führen, dass du evtl. Auch mal etwas zurückrufen musst oder willst. Bei einer kleinen ca die nur privat im Einsatz ist, ist es fast egal... Bei einer großen CA mit mehreren hundert bis tausend Zertifikaten will man da nicht jedes mal alles von vorne machen.... Auch wenn es dann um VPN Dateien  geht jene fremde Firmen haben...

Zum Thema Rathaus und Polizei...
Die Polizei ist in Wirklichkeit eine Liste in welcher steht was nicht gültig ist. Wo die Liste zu finden ist, steht auf deinem Ausweis bzw dem Ausweis des Rathauses... Es gibt keinen Dienst der sagt "du bist nicht gültig"... Es wird eben nur auf der Liste entsprechende nachgeschaut ob es drauf steht oder nicht.
Das Rathaus weiß dies eben nicht immer... Hier gibt es ja noch das komplexe Thema mit privater und öffentlicher Schlüssel...

Aber gut... Ente gut alles gut.

Gesendet von meinem LG-H815 mit Tapatalk

[JeGr]

> Und zum Thema der unschönen Lösung. Ich bleib dabei. Wie in deinem Beispiel ist ja die Polizei und das Rathaus die selbe Instanz. Das Rathaus weiß ja welcher Ausweiß noch gültig ist.

Nope. Dann solltest du dich vielleicht mit der Logik und Konstruktion von TLS bzw. X509 Zertifikaten und CAs/Zertifikaten generell auseinander setzen. Das hat jetzt nichts mit OPNsense, OpenVPN oder sonstwas zu tun, sondern ist schlicht der Weg wie Zertifikate ausgestellt, unterschrieben und entsprechend invalidiert werden. Das kann dir natürlich nicht gefallen das ist dir völlig freigestellt aber die Technik funktioniert nunmal so. Eine CA (oder mehrere in einer Kette) unterschreiben ein Zertifikat und bilden damit eine gültige Validierungskette: Zertifikat -> Intermediate (ggf.) -> CA. Nur weil du die Kopie des Zertifikats löschst auf dem System, das es ausgestellt hat, heißt noch nicht, dass es nicht gültig ist, denn geprüft wird lediglich:

a) Ist das Zertifikat korrekt? (-> ist es von der CA unterschrieben?)
b) Ist es noch gültig? (Verfallszeit)
c) Wurde es gesperrt? (CRL Liste)

Der Perso Vergleich ist dabei nicht mal so falsch, denn auch hier wird DEIN Perso geprüft und nicht eine Kopie oder sonstwas, was noch im Rathaus von dir vorliegend ist. Wenn du Mist baust, kommst du auf die Fahndungsliste und über deine Personalien wirst du zur Festnahme ausgeschrieben. Ähnliches Prinzip mit CRL. Das läuft nicht wie bei einer BankCard bspw. bei der du die in nen Automaten steckst und bei nächster Benutzung wird sie eingezogen

> Ich verstehe aber den Sinn dahinter von OpenVPN. So müssen eben diese Dienste nicht auf der Selben Instanz laufen.

OpenVPN hat da aber erstmal gar nichts mit zu tun. OpenVPN nutzt nur Zertifikate als Faktor (ersten oder zweiten zusätzlich zum Benutzername) aber mehr nicht. Was und wie du mit Zertifikaten umgehst, diese ausrollst etc. ist dir völlig frei. Die Zerts müssten nicht mal auf der Sense erstellt werden. Nur die CA und das Server Cert müssen auf der Sense sein, alles andere ist nur für schöneres Zertifikats-Handling mit Oberfläche, damit man nicht umständlich Zerts per CLI/Shell/sonstwo erstellen muss.