OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • OpnVPN Frage zur Einrichtung
« previous next »
  • Print
Pages: [1]

Author Topic: OpnVPN Frage zur Einrichtung  (Read 391 times)

xenon2008

  • Newbie
  • *
  • Posts: 39
  • Karma: 1
    • View Profile
OpnVPN Frage zur Einrichtung
« on: July 30, 2024, 09:16:48 pm »
Nabend zusammen,

Ich bin gerade dabei nach der Opnsense Doku OPNVPN einzurichten & "hänge" da gerade beim erstellen des SSL VPN Serverzertifikates.
Also "hängen" nicht wirklich ich habe nur gesehen, dass die Default Gültigkeit des SSL Serverzertifikates auf 397 Tage vorab eingestellt ist.
Was ist denn wenn ich das so lasse, und das Zertifikat nächstes Jahr Ende August dann abläuft?
Kann ich das verlängern/renewen oder muss ich dann alle VPN Clients mit einer neuen Config inkl. neuem Zertifikat bestücken?

Weil bei der internen CA selbst welche ich im Schritt zuvor erstellt habe, war die Lebenszeit auch auf 365 Tage vorab eingestellt.
Aber die habe ich gleich auf 10 Jahre hochgedreht, weil ich mir dachte wenn die CA selbst abläuft, muss ich ja wirklich alles neu machen.

Und weil ich es gerade sehe, das selbe Frage ich mich natürlich dann auch bei den Clientzertifikaten.
Kann man die nach einem Jahr renewn ohne am Client ein neues Zertifikat einspielen zu müssen?`

Wie handhabt ihr sowas?
Welche Lebenszeit für welches Zertifikat vergebt ihr so?

Oder meint ihr, dass es besser wäre für das Server & das Client Zertifikat auch gleich 5 Jahre Lebendauer z.B. zu vergeben?

Sorry für die vielen Fragen, bin da noch eher neu in dem Bereich & möchte nicht gleich in einem Jahr alles neu machen müssen.
Außerdem möchte ich es ehrlich gesagt auch verstehen, was passiert wenn ich z.B. Server oder Client Zertifikat erneuern muss, oder es eben abläuft.

Danke & einen schönen Abend
xenon
Logged

mrk45k

  • Jr. Member
  • **
  • Posts: 53
  • Karma: 2
    • View Profile
Re: OpnVPN Frage zur Einrichtung
« Reply #1 on: August 01, 2024, 11:56:25 pm »
Wäre doch eigentlich Sinnfrei ein Zertifikat manipulieren zu können.
Dann wäre doch die ganze Sicherheit dahin.
Du kannst Zertifikate nicht verlängern.
Man kann mehrere anlegen (z.B. nach einem Jahr ein neues) und die alten bei Bedarf revoken. Und vor Ablauf parallel betreiben.
Und ja, die clients müssen das auch mitgeteilt bekommen.
Nehm ein Ablaufdatum was dir passt.
Und wenn einer auf dein System will dann zu 99.9% nicht mit deinen Zertifikaten.
Das ist ja eher interresant das du weißt das du auf deine Maschine verbindest und nicht auf irgend einen Host.
Das Zertifikat alleine sollte ja nicht unbedint die einzigste Sicherheitsmaschinerie sein. Ein Passwort sollte mindestens auch noch inbegriffen sein.

Logged
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • OpnVPN Frage zur Einrichtung
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2