IPSEC-VPN und öffentliches Zertifikat

[Pelikan Netzwerk]

Hallo,

ich möchte gerne Caddy auf meiner OPNsense nutzen. Soweit ich es verstanden habe, kann hier ein kostenloses SSL Zertifikat beantragt und genutzt werden. Kann das SSL Zertifikat welches ich über caddy erhalte, dann auch als öffentliches Zertifikat für IPSEC-VPN Verbindungen genutzt werden?

Danke für eure Hilfe.

Gruß
Andreas

[Monviech (Cedrik)]

Hallo,

nein das kann es nicht. Zertifikate die in Caddy generiert werden liegen nur im Dateisystem und können (ohne dass man manuell Hand anlegt) nur in Caddy verwendet werden.

Für IPsec sollte auch lieber ein selbstsigniertes Zertifikat genommen werden. Bei einem Let's Encrypt Zertifikat oder ZeroSSL Zertifikat kann sich das Intermediate Zertifikat ändern, was dann zu nicht funktionierenden VPN Verbindungen führt.

Bei einem selbstsignierten Zertifikat kann man sehr lange Laufzeiten für das eigene Root oder Intermediate Zertifikat wählen, sodass man es erst nach 10+ Jahren an allen Clients tauschen muss.

[Pelikan Netzwerk]

Danke für die Rückmeldung!

Auch bei einem Let's Encryt Zertifikat müsste dann das Zertifikat auf allen Clients installiert werden, richtig? Immer wenn ein neues Zertifikat ausgestellt wird, müsste es dann auch wieder auf allen Clients installiert werden? In diesem Fall ist Dein Hinweis, lieber ein selbsterstelltes Zertifikat mit entsprechender Laufzeit zu verwenden, sicher richtig.

Gruß
Andreas

[Monviech (Cedrik)]

Auf den Clients wird das Root und (wenn vorhanden) Intermediate Zertifikat hinterlegt. Wenn sich das ändert muss es auf allen Clients getauscht werden.

Das damit ausgestellte Leaf Zertifikat wird in der OPNsense hinterlegt. Vergleiche mit der Anleitung hier:

https://docs.opnsense.org/manual/how-tos/ipsec-swanctl-rw-ikev2-eap-mschapv2.html#system-trust-authorities

Bei Let's Encrypt ist nicht garantiert, dass das Leaf Zertifikate immer die gleiche Zertifikatskette hat.