Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN weitere Zertificate hinzufügen

Frage Microsoft

Mitglied: Sodom

Sodom (Level 1) - Jetzt verbinden

07.07.2009, aktualisiert 11:30 Uhr, 5632 Aufrufe, 5 Kommentare

Hallo alle zusammen,

ich habe eine Frage: Ich möchte bei OpenVPN weitere Zetificate hinzufügen. Wie geht das??
Es bestehen derzeit 10 Stück brauche aber noch 20 Stück mehr.

Besten dank im vorraus.
Mitglied: kingkong
07.07.2009 um 11:44 Uhr
Was meinst du mit "hinzufügen"? Du kannst mit deiner CA jederzeit neue Zertifikate erstellen, die dann auch akzeptiert werden. Diese Zertifikate musst du aber dann nur an die User ausgeben - der Server wird nicht geändert.
Falls das nicht hilft musst du dein Problem genauer beschreiben.
Bitte warten ..
Mitglied: Sodom
07.07.2009 um 12:11 Uhr
danke für deine Antwort. Nur wie mache ich das was du geschrieben hast. Ich in dieser Sache ein absoluter Neuling!!!!!
Bitte warten ..
Mitglied: kingkong
07.07.2009 um 13:03 Uhr
Dann hast du wohl eine fertige OpenVPN-Konfiguaration übernommen? Dann lies dir den Beitrag, bevor du ihn schrittweise umsetzt, bitte einmal komplett durch.

Wenn du dir auf einem beliebigen Rechner das *aktuelle* (ganz wichtig wg. OpenSSL-Lücke) OpenVPN-Paket installierst, sind im Ordner "easy-rsa" auch ein paar Skripte dabei. Diese erstellen dir unter Benutzung der OpenSSL-Funktionen, die bei der Installation von OpenVPN mitkommen, deine Zertifikate. In der vars.bat.sample sind die Standard-Einstellungen gespeichert. Diese Datei kannst du mit dem Editor bearbeiten und deine Standardparameter eintragen.
Dann kopierst du das crt-File und das key-File deiner CA in das easy-rsa-Verzeichnis und nennst die beiden Dateien ca.crt und ca.key, sofern noch nicht geschehen (alternativ kannst du auch die openssl.cnf.sample mit dem Editor bearbeiten und hier eintragen, dass die Dateien anders heißen).
Danach rufst du eine neue Eingabeaufforderung auf, gehst in das easy-rsa-Verzeichnis (normalerweise c:\programme\openvpn\easy-rsa). Darin startest du dann nacheinander die Skripte init-config.bat und vars.bat.
Jetzt sollte in deinem Verzeichnis auch eine Datei openssl.cnf (wobei die Dateiendung hiervon aber nie angezeigt wird) liegen.
Dann rufst du "build-key-server.bat [zertifikatsname]" auf, wobei du [zertifikatsname] mit dem gewünschten Dateinamen des Zertifikats ersetzt.
Wenn du nichts angibst haben die Dateien nur die Dateiendung als Name. Danach wirst du nach bestimmten Parametern gefragt, die du entweder bestätigen (mit Enter), ändern (etwas anderes angeben) oder leer lassen (mit dem Punkt als einzigem Zeichen ) kannst.
Hier ganz wichtig: Der CommonName (CN) muss bei jedem Zertifikat anders sein! Es darf kein Zertifikat geben, das den selben Namen hat wie ein anderes, sonst bringt das den OpenVPN-Server durcheinander!
Zum Schluss kommen dann noch Fragen nach einem Passwort (einfach Enter drücken) und zweimal nach der Signiererlaubnis (y und Enter). Jetzt sollte das Zertifikat im easy-rsa-Ordner liegen.

Ändern würde ich persönlich den Wert des Eintrags "default_md" in der openssl.cnf.sample. Standard ist, soweit ich weiß, md5. Das ist allerdings mittlerweile sehr unsicher, daher besser sha1 nehmen. Es ginge wohl auch schon sha512, aber das akzeptiert Windows Server 2003 R2 und früher nicht, wenn man es dem Domaincontroller geben will, um es domain-weit zu verteilen.

Wenn das ganze für ein Unternehmen gedacht ist, würde ich es insgesamt noch ein bißchen anders aufziehen (unter Umständen dann eben neu). Dann solltest du eine CA erstellen, die deine Master- oder Root-CA wird. Mit dieser signierst du eine neue CA und erst diese benutzt du dann, wie ich oben geschrieben habe, zur Signierung der Benutzerzertifikate. Es kann nämlich zum einen ganz schnell umständlich werden, wenn man für verschiedene Anwendungen verschiedene CAs hat. Außerdem kann man, falls die Unter-CA kompromittiert wurde (dass bspw. irgendjemand den Key der CA in die Hände bekommt) mit der übergeordneten CA eine Sperrliste anlegen, und die Zertifikate sperren. Deshalb muss der Key der Root-CA dann auch verschlüsselt gespeichert und möglichst wenig genutzt werden. Das öffentliche Zertifikat (also die crt-Datei) kann man dagegen auf jedem Rechner als vertrauenswürdige Stelle importieren, sodass alle davon abstammenden Zertifikate auch vertrauenswürdig sind.

Wenn es wirklich für Unternehmens- bzw. kommerzielle Zwecke gedacht ist, solltest du dich grundsätzlich ein bißchen einarbeiten. Einen Anhaltspunkt bringt zum Beispiel das OVPN-Forum unter http://forum.openvpn.eu/ und auch per Google-Suche findest du genug Inhalte. Insbesondere das DFN bietet viele Informationen. Wenn du dir dieses Handbuch durchgelesen hast, bleiben nicht mehr viele Fragen übrig: http://www.dfn-cert.de/informationen/themen/verschluesselung_und_pki/ca ...
Bitte warten ..
Mitglied: Sodom
07.07.2009 um 13:22 Uhr
Danke für deine Antwort. Dies ganze mit Open VPN hat ein Kollege gemacht und er möchte wiessen wie ich aus 10 Zertifikaten 20 machen kann kopieren oder so
Bitte warten ..
Mitglied: kingkong
07.07.2009 um 13:30 Uhr
Die Zertifikate kannst du nicht einfach kopieren - genau das ist ja die Besonderheit der Zertifikate. Wenn sie einmal erstellt sind, kann man sie nicht mehr ändern, sondern nur neue erstellen.
Bitte warten ..
Ähnliche Inhalte
Virtualisierung
Proxmox weitere Festplatten hinzufügen (7)

Frage von manuelw zum Thema Virtualisierung ...

Tipps & Tricks
OpenVPN Delegationen

Anleitung von agowa338 zum Thema Tipps & Tricks ...

Netzwerkgrundlagen
OpenVPN mit IPv6 (2)

Frage von Moddry zum Thema Netzwerkgrundlagen ...

Router & Routing
gelöst OpenVPN pfsense (5)

Frage von sebastian2608 zum Thema Router & Routing ...

Neue Wissensbeiträge
Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Windows 10

Windows 10: Erste Anmeldung Animation deaktivieren

(3)

Anleitung von alemanne21 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Verschlüsselung & Zertifikate
SSL Zertifikat für HTTPS (33)

Frage von Hendrik2586 zum Thema Verschlüsselung & Zertifikate ...

Grafikkarten & Monitore
24" oder 27" mit Full HD oder doch mehr Auflösung? (21)

Frage von brutzler zum Thema Grafikkarten & Monitore ...

Router & Routing
gelöst Linksys wrt1200ac v2 mit dd-wrt: keine vlan-einstellungen im GUI (15)

Frage von Pixi123 zum Thema Router & Routing ...