OpenVPN weitere Zertificate hinzufügen

Dann hast du wohl eine fertige OpenVPN-Konfiguaration übernommen? Dann lies dir den Beitrag, bevor du ihn schrittweise umsetzt, bitte einmal komplett durch.

Wenn du dir auf einem beliebigen Rechner das *aktuelle* (ganz wichtig wg. OpenSSL-Lücke) OpenVPN-Paket installierst, sind im Ordner "easy-rsa" auch ein paar Skripte dabei. Diese erstellen dir unter Benutzung der OpenSSL-Funktionen, die bei der Installation von OpenVPN mitkommen, deine Zertifikate. In der vars.bat.sample sind die Standard-Einstellungen gespeichert. Diese Datei kannst du mit dem Editor bearbeiten und deine Standardparameter eintragen.
Dann kopierst du das crt-File und das key-File deiner CA in das easy-rsa-Verzeichnis und nennst die beiden Dateien ca.crt und ca.key, sofern noch nicht geschehen (alternativ kannst du auch die openssl.cnf.sample mit dem Editor bearbeiten und hier eintragen, dass die Dateien anders heißen).
Danach rufst du eine neue Eingabeaufforderung auf, gehst in das easy-rsa-Verzeichnis (normalerweise c:\programme\openvpn\easy-rsa). Darin startest du dann nacheinander die Skripte init-config.bat und vars.bat.
Jetzt sollte in deinem Verzeichnis auch eine Datei openssl.cnf (wobei die Dateiendung hiervon aber nie angezeigt wird) liegen.
Dann rufst du "build-key-server.bat [zertifikatsname]" auf, wobei du [zertifikatsname] mit dem gewünschten Dateinamen des Zertifikats ersetzt.
Wenn du nichts angibst haben die Dateien nur die Dateiendung als Name. Danach wirst du nach bestimmten Parametern gefragt, die du entweder bestätigen (mit Enter), ändern (etwas anderes angeben) oder leer lassen (mit dem Punkt als einzigem Zeichen ) kannst.
Hier ganz wichtig: Der CommonName (CN) muss bei jedem Zertifikat anders sein! Es darf kein Zertifikat geben, das den selben Namen hat wie ein anderes, sonst bringt das den OpenVPN-Server durcheinander!
Zum Schluss kommen dann noch Fragen nach einem Passwort (einfach Enter drücken) und zweimal nach der Signiererlaubnis (y und Enter). Jetzt sollte das Zertifikat im easy-rsa-Ordner liegen.

Ändern würde ich persönlich den Wert des Eintrags "default_md" in der openssl.cnf.sample. Standard ist, soweit ich weiß, md5. Das ist allerdings mittlerweile sehr unsicher, daher besser sha1 nehmen. Es ginge wohl auch schon sha512, aber das akzeptiert Windows Server 2003 R2 und früher nicht, wenn man es dem Domaincontroller geben will, um es domain-weit zu verteilen.

Wenn das ganze für ein Unternehmen gedacht ist, würde ich es insgesamt noch ein bißchen anders aufziehen (unter Umständen dann eben neu). Dann solltest du eine CA erstellen, die deine Master- oder Root-CA wird. Mit dieser signierst du eine neue CA und erst diese benutzt du dann, wie ich oben geschrieben habe, zur Signierung der Benutzerzertifikate. Es kann nämlich zum einen ganz schnell umständlich werden, wenn man für verschiedene Anwendungen verschiedene CAs hat. Außerdem kann man, falls die Unter-CA kompromittiert wurde (dass bspw. irgendjemand den Key der CA in die Hände bekommt) mit der übergeordneten CA eine Sperrliste anlegen, und die Zertifikate sperren. Deshalb muss der Key der Root-CA dann auch verschlüsselt gespeichert und möglichst wenig genutzt werden. Das öffentliche Zertifikat (also die crt-Datei) kann man dagegen auf jedem Rechner als vertrauenswürdige Stelle importieren, sodass alle davon abstammenden Zertifikate auch vertrauenswürdig sind.

Wenn es wirklich für Unternehmens- bzw. kommerzielle Zwecke gedacht ist, solltest du dich grundsätzlich ein bißchen einarbeiten. Einen Anhaltspunkt bringt zum Beispiel das OVPN-Forum unter http://forum.openvpn.eu/ und auch per Google-Suche findest du genug Inhalte. Insbesondere das DFN bietet viele Informationen. Wenn du dir dieses Handbuch durchgelesen hast, bleiben nicht mehr viele Fragen übrig: http://www.dfn-cert.de/informationen/themen/verschluesselung_und_pki/ca ...