Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN weitere Zertificate hinzufügen

Mitglied: Sodom

Sodom (Level 1) - Jetzt verbinden

07.07.2009, aktualisiert 11:30 Uhr, 5824 Aufrufe, 5 Kommentare

Hallo alle zusammen,

ich habe eine Frage: Ich möchte bei OpenVPN weitere Zetificate hinzufügen. Wie geht das??
Es bestehen derzeit 10 Stück brauche aber noch 20 Stück mehr.

Besten dank im vorraus.
Mitglied: kingkong
07.07.2009 um 11:44 Uhr
Was meinst du mit "hinzufügen"? Du kannst mit deiner CA jederzeit neue Zertifikate erstellen, die dann auch akzeptiert werden. Diese Zertifikate musst du aber dann nur an die User ausgeben - der Server wird nicht geändert.
Falls das nicht hilft musst du dein Problem genauer beschreiben.
Bitte warten ..
Mitglied: Sodom
07.07.2009 um 12:11 Uhr
danke für deine Antwort. Nur wie mache ich das was du geschrieben hast. Ich in dieser Sache ein absoluter Neuling!!!!!
Bitte warten ..
Mitglied: kingkong
07.07.2009 um 13:03 Uhr
Dann hast du wohl eine fertige OpenVPN-Konfiguaration übernommen? Dann lies dir den Beitrag, bevor du ihn schrittweise umsetzt, bitte einmal komplett durch.

Wenn du dir auf einem beliebigen Rechner das *aktuelle* (ganz wichtig wg. OpenSSL-Lücke) OpenVPN-Paket installierst, sind im Ordner "easy-rsa" auch ein paar Skripte dabei. Diese erstellen dir unter Benutzung der OpenSSL-Funktionen, die bei der Installation von OpenVPN mitkommen, deine Zertifikate. In der vars.bat.sample sind die Standard-Einstellungen gespeichert. Diese Datei kannst du mit dem Editor bearbeiten und deine Standardparameter eintragen.
Dann kopierst du das crt-File und das key-File deiner CA in das easy-rsa-Verzeichnis und nennst die beiden Dateien ca.crt und ca.key, sofern noch nicht geschehen (alternativ kannst du auch die openssl.cnf.sample mit dem Editor bearbeiten und hier eintragen, dass die Dateien anders heißen).
Danach rufst du eine neue Eingabeaufforderung auf, gehst in das easy-rsa-Verzeichnis (normalerweise c:\programme\openvpn\easy-rsa). Darin startest du dann nacheinander die Skripte init-config.bat und vars.bat.
Jetzt sollte in deinem Verzeichnis auch eine Datei openssl.cnf (wobei die Dateiendung hiervon aber nie angezeigt wird) liegen.
Dann rufst du "build-key-server.bat [zertifikatsname]" auf, wobei du [zertifikatsname] mit dem gewünschten Dateinamen des Zertifikats ersetzt.
Wenn du nichts angibst haben die Dateien nur die Dateiendung als Name. Danach wirst du nach bestimmten Parametern gefragt, die du entweder bestätigen (mit Enter), ändern (etwas anderes angeben) oder leer lassen (mit dem Punkt als einzigem Zeichen ) kannst.
Hier ganz wichtig: Der CommonName (CN) muss bei jedem Zertifikat anders sein! Es darf kein Zertifikat geben, das den selben Namen hat wie ein anderes, sonst bringt das den OpenVPN-Server durcheinander!
Zum Schluss kommen dann noch Fragen nach einem Passwort (einfach Enter drücken) und zweimal nach der Signiererlaubnis (y und Enter). Jetzt sollte das Zertifikat im easy-rsa-Ordner liegen.

Ändern würde ich persönlich den Wert des Eintrags "default_md" in der openssl.cnf.sample. Standard ist, soweit ich weiß, md5. Das ist allerdings mittlerweile sehr unsicher, daher besser sha1 nehmen. Es ginge wohl auch schon sha512, aber das akzeptiert Windows Server 2003 R2 und früher nicht, wenn man es dem Domaincontroller geben will, um es domain-weit zu verteilen.

Wenn das ganze für ein Unternehmen gedacht ist, würde ich es insgesamt noch ein bißchen anders aufziehen (unter Umständen dann eben neu). Dann solltest du eine CA erstellen, die deine Master- oder Root-CA wird. Mit dieser signierst du eine neue CA und erst diese benutzt du dann, wie ich oben geschrieben habe, zur Signierung der Benutzerzertifikate. Es kann nämlich zum einen ganz schnell umständlich werden, wenn man für verschiedene Anwendungen verschiedene CAs hat. Außerdem kann man, falls die Unter-CA kompromittiert wurde (dass bspw. irgendjemand den Key der CA in die Hände bekommt) mit der übergeordneten CA eine Sperrliste anlegen, und die Zertifikate sperren. Deshalb muss der Key der Root-CA dann auch verschlüsselt gespeichert und möglichst wenig genutzt werden. Das öffentliche Zertifikat (also die crt-Datei) kann man dagegen auf jedem Rechner als vertrauenswürdige Stelle importieren, sodass alle davon abstammenden Zertifikate auch vertrauenswürdig sind.

Wenn es wirklich für Unternehmens- bzw. kommerzielle Zwecke gedacht ist, solltest du dich grundsätzlich ein bißchen einarbeiten. Einen Anhaltspunkt bringt zum Beispiel das OVPN-Forum unter http://forum.openvpn.eu/ und auch per Google-Suche findest du genug Inhalte. Insbesondere das DFN bietet viele Informationen. Wenn du dir dieses Handbuch durchgelesen hast, bleiben nicht mehr viele Fragen übrig: http://www.dfn-cert.de/informationen/themen/verschluesselung_und_pki/ca ...
Bitte warten ..
Mitglied: Sodom
07.07.2009 um 13:22 Uhr
Danke für deine Antwort. Dies ganze mit Open VPN hat ein Kollege gemacht und er möchte wiessen wie ich aus 10 Zertifikaten 20 machen kann kopieren oder so
Bitte warten ..
Mitglied: kingkong
07.07.2009 um 13:30 Uhr
Die Zertifikate kannst du nicht einfach kopieren - genau das ist ja die Besonderheit der Zertifikate. Wenn sie einmal erstellt sind, kann man sie nicht mehr ändern, sondern nur neue erstellen.
Bitte warten ..
Ähnliche Inhalte
Virtualisierung

Proxmox weitere Festplatten hinzufügen

Frage von manuelwVirtualisierung7 Kommentare

Hallo, ich habe auf meinem Fujitsu TX-120S3p Proxmox in der aktuellsten Version (4.4) installiert und möchte darauf per KVM ...

Windows Netzwerk

Über openVPN an Domäne hinzufügen

gelöst Frage von Frank1993Windows Netzwerk6 Kommentare

Hallo Leute, ich verzweifle langsam. Versuche schon den ganzen Tag unseren vServer via openVPN am AD hinzuzufügen. Im openVPN ...

Samba

Hinzufügen eines weiteren Shares von meiner NAS schlägt fehl

gelöst Frage von PanubuSamba2 Kommentare

Guten Abend zusammen, ich habe folgendes Problem: Wenn ich von meiner NAS auf meinem Windows-Rechner einen weiteren Share verbinden ...

Festplatten, SSD, Raid

LSI Megaraid 9271-8i weitere Platten hinzufügen

gelöst Frage von simimetrFestplatten, SSD, Raid20 Kommentare

Hallo, habe hier ein Server mit folgenden Merkmalen: Tower; SC745TQ RaidCotnroller: LSI MegaRaid 9271-8i Hier sind 4 Platten bereits ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 17 StundenWindows 103 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 20 StundenAdministrator.de Feedback14 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Server Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Network
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Network15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Memory Cards
Vergessliche USB-Sticks?
Frage von hanheikMemory Cards14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...