Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN weitere Zertificate hinzufügen

Frage Microsoft

Mitglied: Sodom

Sodom (Level 1) - Jetzt verbinden

07.07.2009, aktualisiert 11:30 Uhr, 5738 Aufrufe, 5 Kommentare

Hallo alle zusammen,

ich habe eine Frage: Ich möchte bei OpenVPN weitere Zetificate hinzufügen. Wie geht das??
Es bestehen derzeit 10 Stück brauche aber noch 20 Stück mehr.

Besten dank im vorraus.
Mitglied: kingkong
07.07.2009 um 11:44 Uhr
Was meinst du mit "hinzufügen"? Du kannst mit deiner CA jederzeit neue Zertifikate erstellen, die dann auch akzeptiert werden. Diese Zertifikate musst du aber dann nur an die User ausgeben - der Server wird nicht geändert.
Falls das nicht hilft musst du dein Problem genauer beschreiben.
Bitte warten ..
Mitglied: Sodom
07.07.2009 um 12:11 Uhr
danke für deine Antwort. Nur wie mache ich das was du geschrieben hast. Ich in dieser Sache ein absoluter Neuling!!!!!
Bitte warten ..
Mitglied: kingkong
07.07.2009 um 13:03 Uhr
Dann hast du wohl eine fertige OpenVPN-Konfiguaration übernommen? Dann lies dir den Beitrag, bevor du ihn schrittweise umsetzt, bitte einmal komplett durch.

Wenn du dir auf einem beliebigen Rechner das *aktuelle* (ganz wichtig wg. OpenSSL-Lücke) OpenVPN-Paket installierst, sind im Ordner "easy-rsa" auch ein paar Skripte dabei. Diese erstellen dir unter Benutzung der OpenSSL-Funktionen, die bei der Installation von OpenVPN mitkommen, deine Zertifikate. In der vars.bat.sample sind die Standard-Einstellungen gespeichert. Diese Datei kannst du mit dem Editor bearbeiten und deine Standardparameter eintragen.
Dann kopierst du das crt-File und das key-File deiner CA in das easy-rsa-Verzeichnis und nennst die beiden Dateien ca.crt und ca.key, sofern noch nicht geschehen (alternativ kannst du auch die openssl.cnf.sample mit dem Editor bearbeiten und hier eintragen, dass die Dateien anders heißen).
Danach rufst du eine neue Eingabeaufforderung auf, gehst in das easy-rsa-Verzeichnis (normalerweise c:\programme\openvpn\easy-rsa). Darin startest du dann nacheinander die Skripte init-config.bat und vars.bat.
Jetzt sollte in deinem Verzeichnis auch eine Datei openssl.cnf (wobei die Dateiendung hiervon aber nie angezeigt wird) liegen.
Dann rufst du "build-key-server.bat [zertifikatsname]" auf, wobei du [zertifikatsname] mit dem gewünschten Dateinamen des Zertifikats ersetzt.
Wenn du nichts angibst haben die Dateien nur die Dateiendung als Name. Danach wirst du nach bestimmten Parametern gefragt, die du entweder bestätigen (mit Enter), ändern (etwas anderes angeben) oder leer lassen (mit dem Punkt als einzigem Zeichen ) kannst.
Hier ganz wichtig: Der CommonName (CN) muss bei jedem Zertifikat anders sein! Es darf kein Zertifikat geben, das den selben Namen hat wie ein anderes, sonst bringt das den OpenVPN-Server durcheinander!
Zum Schluss kommen dann noch Fragen nach einem Passwort (einfach Enter drücken) und zweimal nach der Signiererlaubnis (y und Enter). Jetzt sollte das Zertifikat im easy-rsa-Ordner liegen.

Ändern würde ich persönlich den Wert des Eintrags "default_md" in der openssl.cnf.sample. Standard ist, soweit ich weiß, md5. Das ist allerdings mittlerweile sehr unsicher, daher besser sha1 nehmen. Es ginge wohl auch schon sha512, aber das akzeptiert Windows Server 2003 R2 und früher nicht, wenn man es dem Domaincontroller geben will, um es domain-weit zu verteilen.

Wenn das ganze für ein Unternehmen gedacht ist, würde ich es insgesamt noch ein bißchen anders aufziehen (unter Umständen dann eben neu). Dann solltest du eine CA erstellen, die deine Master- oder Root-CA wird. Mit dieser signierst du eine neue CA und erst diese benutzt du dann, wie ich oben geschrieben habe, zur Signierung der Benutzerzertifikate. Es kann nämlich zum einen ganz schnell umständlich werden, wenn man für verschiedene Anwendungen verschiedene CAs hat. Außerdem kann man, falls die Unter-CA kompromittiert wurde (dass bspw. irgendjemand den Key der CA in die Hände bekommt) mit der übergeordneten CA eine Sperrliste anlegen, und die Zertifikate sperren. Deshalb muss der Key der Root-CA dann auch verschlüsselt gespeichert und möglichst wenig genutzt werden. Das öffentliche Zertifikat (also die crt-Datei) kann man dagegen auf jedem Rechner als vertrauenswürdige Stelle importieren, sodass alle davon abstammenden Zertifikate auch vertrauenswürdig sind.

Wenn es wirklich für Unternehmens- bzw. kommerzielle Zwecke gedacht ist, solltest du dich grundsätzlich ein bißchen einarbeiten. Einen Anhaltspunkt bringt zum Beispiel das OVPN-Forum unter http://forum.openvpn.eu/ und auch per Google-Suche findest du genug Inhalte. Insbesondere das DFN bietet viele Informationen. Wenn du dir dieses Handbuch durchgelesen hast, bleiben nicht mehr viele Fragen übrig: http://www.dfn-cert.de/informationen/themen/verschluesselung_und_pki/ca ...
Bitte warten ..
Mitglied: Sodom
07.07.2009 um 13:22 Uhr
Danke für deine Antwort. Dies ganze mit Open VPN hat ein Kollege gemacht und er möchte wiessen wie ich aus 10 Zertifikaten 20 machen kann kopieren oder so
Bitte warten ..
Mitglied: kingkong
07.07.2009 um 13:30 Uhr
Die Zertifikate kannst du nicht einfach kopieren - genau das ist ja die Besonderheit der Zertifikate. Wenn sie einmal erstellt sind, kann man sie nicht mehr ändern, sondern nur neue erstellen.
Bitte warten ..
Ähnliche Inhalte
Virtualisierung
Proxmox weitere Festplatten hinzufügen
Frage von manuelwVirtualisierung7 Kommentare

Hallo, ich habe auf meinem Fujitsu TX-120S3p Proxmox in der aktuellsten Version (4.4) installiert und möchte darauf per KVM ...

Windows Netzwerk
Über openVPN an Domäne hinzufügen
gelöst Frage von Frank1993Windows Netzwerk6 Kommentare

Hallo Leute, ich verzweifle langsam. Versuche schon den ganzen Tag unseren vServer via openVPN am AD hinzuzufügen. Im openVPN ...

Samba
Hinzufügen eines weiteren Shares von meiner NAS schlägt fehl
gelöst Frage von PanubuSamba2 Kommentare

Guten Abend zusammen, ich habe folgendes Problem: Wenn ich von meiner NAS auf meinem Windows-Rechner einen weiteren Share verbinden ...

Festplatten, SSD, Raid
LSI Megaraid 9271-8i weitere Platten hinzufügen
gelöst Frage von simimetrFestplatten, SSD, Raid20 Kommentare

Hallo, habe hier ein Server mit folgenden Merkmalen: Tower; SC745TQ RaidCotnroller: LSI MegaRaid 9271-8i Hier sind 4 Platten bereits ...

Neue Wissensbeiträge
Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 2 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 3 TagenWebbrowser7 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 3 TagenSicherheit6 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Digitiales Fernsehen

Apple TV: Amazon Prime App ist verfügbar

Information von Frank vor 4 TagenDigitiales Fernsehen4 Kommentare

Die Amazon Prime Video App kann ab sofort auf einem Apple TV ab der 3 Generation installiert werden. Einfach ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...