openvpn windows certmgr

Started by chrismaster, February 25, 2021, 01:37:00 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 25, 2021, 01:37:00 PM
Ich hätte gerne für openvpn .crt und .key im Microsoft Key Store.
Aber openvpn findet sie dort nicht.
Weiß wer wohin man crt und key im Key Store für Windows als openvpn Client importieren muß?
Gehören sie in den System Store oder Benutzer Store?
February 25, 2021, 02:09:20 PM #1
> Weiß wer wohin man crt und key im Key Store für Windows als openvpn Client importieren muß?

Warum möchtest du die denn im Zertifikatsspeicher haben?
Ansonsten würde ich stark annehmen, dass du erst die CA in den vertrauenswürdigen Stammzertifikatsspeicher reinhauen musst und dann das cert mit key zusammen als simple "eigene zertifikate" importieren.

Aber machen musste ich das noch nie, da möchte eigentlich kaum einer mit rumspielen wenn ers nicht muss ;)

Cheers
\jens
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
February 25, 2021, 02:17:26 PM #2
Damit die crt & key nicht einfach auf einen anderen PC kopiert werden.
Der Zertifikatsspeicher ist eine weitere Hürde für nicht so technisch versierte Benutzer.
February 25, 2021, 02:28:47 PM #3
> Der Zertifikatsspeicher ist eine weitere Hürde für nicht so technisch versierte Benutzer.

OK ist diskutabel, aber ich behaupte mal, wenn mir klar ist, was CRT+Key sind und dass ich die brauche, kann ich auch in die Konfig reinschauen und sehe wo die sind (Zertspeicher). Und als (meistens) lokaler Admin o.ä. ist das dann keine große Meisterleistung die Sachen da wieder rauszuexportieren. Einmal Google wie man Zertifikate aus Windows exportiert zeigt das eigentlich schon recht gut. Aber OK kann man natürlich alles versuchen. IMHO aber "Security by obscurity" weil es Dinge sind, die der User so oder so hat.

Entweder der Login soll auf dem Rechner bleiben (dann sollte man ggf. vllt über sowas ähnliches wie Mac Auth nachdenken) oder der User soll einen 2. Faktor haben. Dann wäre ggf. TOTP für die User ein besserer Faktor.

Aber anyway, ich denke wie gesagt, dass die CA noch in Stammzert Speicher muss, sonst wird das Userzert wohl ein Problem haben bei der Verifikation. :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
February 25, 2021, 03:03:43 PM #4
Ich glaube den Key aus dem Zertifikatsmanager zu kopieren ist schwieriger als den Hash für TOTP aus dem Handy auf mehrere Handys zu kopieren. Mit Yubikey schaffe ich OpenVPN noch nicht zu konfigurieren, das hätte ich am liebsten.
Aber am Ende schaffe ich es auch mit crt und key in Windows Zertifikatsmanager.... Hoffte jemand hat sowas im Einsatz und kann mich an genau die richtige Stelle leiten.
February 25, 2021, 04:18:19 PM #5
Quote from: chrismaster on February 25, 2021, 03:03:43 PM
Ich glaube den Key aus dem Zertifikatsmanager zu kopieren ist schwieriger als den Hash für TOTP aus dem Handy auf mehrere Handys zu kopieren. Mit Yubikey schaffe ich OpenVPN noch nicht zu konfigurieren, das hätte ich am liebsten.
Aber am Ende schaffe ich es auch mit crt und key in Windows Zertifikatsmanager.... Hoffte jemand hat sowas im Einsatz und kann mich an genau die richtige Stelle leiten.
Würde dir empfehlen es mit TOTP zu machen
Dort wird automatisch ein qr code erstellt den die Leute nur mit dem Handy scannen müssen
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
Print
Go Up Pages1
User actions