Zertifikate für OpenVPN automatisch anlgen

Started by esserda, January 08, 2021, 08:27:28 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 08, 2021, 08:27:28 AM
Hallo zusammen,

hat jemand Erfahrung mit OPNsense und OpenVPN? Ich würde gerne Zertifikate und die VPN Config Dateien automatisiert anlegen lassen, sobald ein neuer Benutzer bspw. in eine Active Directory angelegt wurde. Gibt es für sowas Möglichkeiten?

Gruß esserda
January 12, 2021, 05:46:42 PM #1
Da OpenVPN einfach x509 SSL Zertifikate nutzt, ist es relativ egal, WO diese erstellt werden. Solange du die entsprechende CA und zumindest ein Server Zertifikat für den OVPN Server in die Sense importierst, kannst du die Client Zertifikate und Konfigs egal wo erstellen, solange die Konfiguration passt und korrekt ist. Wenn du das also auf Microsoft Seite durchskripten willst, ist das auch möglich. Macht ein Kunde von uns auch so. CA und Server Zert auf Sense, CA selbst aber auf nem Domaincontroller vorhanden und durchgeskriptet, dass beim Einloggen via Startskript Leute ihre Konfig inkl. Zertifikat auf ihre Laptops/PCs gepusht bekommen. :)

Cheers
\jens
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
January 12, 2021, 06:14:57 PM #2
Das kann man so recht einfach machen, aber es bleibt das Problem der Certificate revocation, wenn ein Mitarbeiter ausscheidet.

Hier ist eine Idee, wie man das auch automatisieren kann: https://forum.opnsense.org/index.php?topic=12966.0

Eine Alternative wäre eine sehr kurze Laufzeit des Zertifikats und mit dem Risiko leben. Solange die Verteilung der Zertifikate gut genug automatisiert ist, merkt der Benutzer nichts davon.
January 12, 2021, 06:24:33 PM #3
Revocation ist dann ein Problem wegen externer/fehlender CRL. Mag korrekt sein.

Aber das auf das Ausscheiden des Mitarbeiters (bspw.) festzumachen halte ich für Praxisfern. Kein Mitarbeiter der ausscheidet bekommt aus meiner Erfahrung heraus "nur" sein VPN abgedreht, kann sich aber nach wie vor einloggen. Normalerweise ist sogar eher der Account disabled bevor jemand an ein etwaiges Zertifikat denkt ;) Daher ist für die meisten der Einsatzzweck zu verschmerzen, weil hier das Zertifikat lediglich ein 2. Faktor darstellt, aber nicht das Haupt-Authentifizierungsmerkmal. Wenn man natürlich Maschinenaccounts mit Autologin mit Zert-only fährt, bekommt das Ganze sicherlich eine andere Größe - dann möchte man CRLs definitiv nutzen :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions