Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN weitere Zertificate hinzufügen

Frage Microsoft

Mitglied: Sodom

Sodom (Level 1) - Jetzt verbinden

07.07.2009, aktualisiert 11:30 Uhr, 5332 Aufrufe, 5 Kommentare

Hallo alle zusammen,

ich habe eine Frage: Ich möchte bei OpenVPN weitere Zetificate hinzufügen. Wie geht das??
Es bestehen derzeit 10 Stück brauche aber noch 20 Stück mehr.

Besten dank im vorraus.
Mitglied: kingkong
07.07.2009 um 11:44 Uhr
Was meinst du mit "hinzufügen"? Du kannst mit deiner CA jederzeit neue Zertifikate erstellen, die dann auch akzeptiert werden. Diese Zertifikate musst du aber dann nur an die User ausgeben - der Server wird nicht geändert.
Falls das nicht hilft musst du dein Problem genauer beschreiben.
Bitte warten ..
Mitglied: Sodom
07.07.2009 um 12:11 Uhr
danke für deine Antwort. Nur wie mache ich das was du geschrieben hast. Ich in dieser Sache ein absoluter Neuling!!!!!
Bitte warten ..
Mitglied: kingkong
07.07.2009 um 13:03 Uhr
Dann hast du wohl eine fertige OpenVPN-Konfiguaration übernommen? Dann lies dir den Beitrag, bevor du ihn schrittweise umsetzt, bitte einmal komplett durch.

Wenn du dir auf einem beliebigen Rechner das *aktuelle* (ganz wichtig wg. OpenSSL-Lücke) OpenVPN-Paket installierst, sind im Ordner "easy-rsa" auch ein paar Skripte dabei. Diese erstellen dir unter Benutzung der OpenSSL-Funktionen, die bei der Installation von OpenVPN mitkommen, deine Zertifikate. In der vars.bat.sample sind die Standard-Einstellungen gespeichert. Diese Datei kannst du mit dem Editor bearbeiten und deine Standardparameter eintragen.
Dann kopierst du das crt-File und das key-File deiner CA in das easy-rsa-Verzeichnis und nennst die beiden Dateien ca.crt und ca.key, sofern noch nicht geschehen (alternativ kannst du auch die openssl.cnf.sample mit dem Editor bearbeiten und hier eintragen, dass die Dateien anders heißen).
Danach rufst du eine neue Eingabeaufforderung auf, gehst in das easy-rsa-Verzeichnis (normalerweise c:\programme\openvpn\easy-rsa). Darin startest du dann nacheinander die Skripte init-config.bat und vars.bat.
Jetzt sollte in deinem Verzeichnis auch eine Datei openssl.cnf (wobei die Dateiendung hiervon aber nie angezeigt wird) liegen.
Dann rufst du "build-key-server.bat [zertifikatsname]" auf, wobei du [zertifikatsname] mit dem gewünschten Dateinamen des Zertifikats ersetzt.
Wenn du nichts angibst haben die Dateien nur die Dateiendung als Name. Danach wirst du nach bestimmten Parametern gefragt, die du entweder bestätigen (mit Enter), ändern (etwas anderes angeben) oder leer lassen (mit dem Punkt als einzigem Zeichen ) kannst.
Hier ganz wichtig: Der CommonName (CN) muss bei jedem Zertifikat anders sein! Es darf kein Zertifikat geben, das den selben Namen hat wie ein anderes, sonst bringt das den OpenVPN-Server durcheinander!
Zum Schluss kommen dann noch Fragen nach einem Passwort (einfach Enter drücken) und zweimal nach der Signiererlaubnis (y und Enter). Jetzt sollte das Zertifikat im easy-rsa-Ordner liegen.

Ändern würde ich persönlich den Wert des Eintrags "default_md" in der openssl.cnf.sample. Standard ist, soweit ich weiß, md5. Das ist allerdings mittlerweile sehr unsicher, daher besser sha1 nehmen. Es ginge wohl auch schon sha512, aber das akzeptiert Windows Server 2003 R2 und früher nicht, wenn man es dem Domaincontroller geben will, um es domain-weit zu verteilen.

Wenn das ganze für ein Unternehmen gedacht ist, würde ich es insgesamt noch ein bißchen anders aufziehen (unter Umständen dann eben neu). Dann solltest du eine CA erstellen, die deine Master- oder Root-CA wird. Mit dieser signierst du eine neue CA und erst diese benutzt du dann, wie ich oben geschrieben habe, zur Signierung der Benutzerzertifikate. Es kann nämlich zum einen ganz schnell umständlich werden, wenn man für verschiedene Anwendungen verschiedene CAs hat. Außerdem kann man, falls die Unter-CA kompromittiert wurde (dass bspw. irgendjemand den Key der CA in die Hände bekommt) mit der übergeordneten CA eine Sperrliste anlegen, und die Zertifikate sperren. Deshalb muss der Key der Root-CA dann auch verschlüsselt gespeichert und möglichst wenig genutzt werden. Das öffentliche Zertifikat (also die crt-Datei) kann man dagegen auf jedem Rechner als vertrauenswürdige Stelle importieren, sodass alle davon abstammenden Zertifikate auch vertrauenswürdig sind.

Wenn es wirklich für Unternehmens- bzw. kommerzielle Zwecke gedacht ist, solltest du dich grundsätzlich ein bißchen einarbeiten. Einen Anhaltspunkt bringt zum Beispiel das OVPN-Forum unter http://forum.openvpn.eu/ und auch per Google-Suche findest du genug Inhalte. Insbesondere das DFN bietet viele Informationen. Wenn du dir dieses Handbuch durchgelesen hast, bleiben nicht mehr viele Fragen übrig: http://www.dfn-cert.de/informationen/themen/verschluesselung_und_pki/ca ...
Bitte warten ..
Mitglied: Sodom
07.07.2009 um 13:22 Uhr
Danke für deine Antwort. Dies ganze mit Open VPN hat ein Kollege gemacht und er möchte wiessen wie ich aus 10 Zertifikaten 20 machen kann kopieren oder so
Bitte warten ..
Mitglied: kingkong
07.07.2009 um 13:30 Uhr
Die Zertifikate kannst du nicht einfach kopieren - genau das ist ja die Besonderheit der Zertifikate. Wenn sie einmal erstellt sind, kann man sie nicht mehr ändern, sondern nur neue erstellen.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Netzwerkgrundlagen
gelöst Heimnetzwerk über Server im Internet und OpenVPN erreichbar machen (16)

Frage von byt0xm zum Thema Netzwerkgrundlagen ...

Viren und Trojaner
Weitere Entschlüsselungs-Tools für Ransomware veröffentlicht (2)

Link von runasservice zum Thema Viren und Trojaner ...

Netzwerkgrundlagen
Netzwerkordner in Drucker hinzufügen (3)

Frage von Nightmehr zum Thema Netzwerkgrundlagen ...

Linux Netzwerk
OpenVPN, zwei OpenWRT Router verbinden und VLAN durchs VPN leiten (6)

Frage von sharbich zum Thema Linux Netzwerk ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (24)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...