1
Eigene CA erstellen wie geht man mit Common Name um
Hallo,
ich bin dabei auf meinem pfSense eine neue CA für OpenVPN einzurichten.
Irgendwie klappt es nicht.
So weit ich weiß muss man folgendes beachten. (in meinem Fall werden es zwei OpenVPN-Server auf dem pfSense-Board laufen)
1. ich erstelle einen CA mit z. B. "internal-ca im Feld "Common Name"
2. mit diesem CA erstell ich einen Servercert. mit dem Servername "meinedomain.org" im Feld "Common Name"
3. ich erstelle die Userzert. z. B. mit den jeweililgen Namen (Hauptsache alle sind unterschiedlich) im Feld "Common Name".
Egal wie ich die CA und die Zertifikate erstelle stehen keine User unter "Client Export" zur Verfügung.
Laut Hinweis der GUI:
"NOTE: If you expect to see a certain client in the list but it is not there, it is usually due to a CA mismatch between the OpenVPN server instance and the client certificates found in the User Manager."
Mein User existiert bereist im User-Manager der PfSense.
in der Anleitung OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router haben alle Zertifikate "internal-ca" in anderen Tutorials liest man aber, dass die Common Names der Client-Zertifkate überall unterschiedlich sein muss.
Was ist richtig?
Danke!
Gr. I.
ich bin dabei auf meinem pfSense eine neue CA für OpenVPN einzurichten.
Irgendwie klappt es nicht.
So weit ich weiß muss man folgendes beachten. (in meinem Fall werden es zwei OpenVPN-Server auf dem pfSense-Board laufen)
1. ich erstelle einen CA mit z. B. "internal-ca im Feld "Common Name"
2. mit diesem CA erstell ich einen Servercert. mit dem Servername "meinedomain.org" im Feld "Common Name"
3. ich erstelle die Userzert. z. B. mit den jeweililgen Namen (Hauptsache alle sind unterschiedlich) im Feld "Common Name".
Egal wie ich die CA und die Zertifikate erstelle stehen keine User unter "Client Export" zur Verfügung.
Laut Hinweis der GUI:
"NOTE: If you expect to see a certain client in the list but it is not there, it is usually due to a CA mismatch between the OpenVPN server instance and the client certificates found in the User Manager."
Mein User existiert bereist im User-Manager der PfSense.
in der Anleitung OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router haben alle Zertifikate "internal-ca" in anderen Tutorials liest man aber, dass die Common Names der Client-Zertifkate überall unterschiedlich sein muss.
Was ist richtig?
Danke!
Gr. I.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 181538
Url: https://administrator.de/contentid/181538
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
1 Kommentar
Hallo,
soweit ich weiss, es es eigentlich egal, welche common names du verwendest, solange es sich um interne Zwecke handelt.
Meine pfSense-CA hat einfach den Name des Hoste mit angehängtem -ca ( host.domain.local-ca ).
Servercert hat dann wie du bereits sagtest den Namen des Servers ( host.domain.local ). Hierbei muss es sich um ein "Server Certificate" handeln.
Und die User-Certs müssen sich natürlich unterscheiden. ( z.B. username-host.domain.local ).
Diese müssen "User Certificates" sein. Wenn du eine User-Auth vornimmst, muss ein Cert natürlich auch einem User zugeordnet sein.
Läuft bei mir alles einwandfrei.
soweit ich weiss, es es eigentlich egal, welche common names du verwendest, solange es sich um interne Zwecke handelt.
Meine pfSense-CA hat einfach den Name des Hoste mit angehängtem -ca ( host.domain.local-ca ).
Servercert hat dann wie du bereits sagtest den Namen des Servers ( host.domain.local ). Hierbei muss es sich um ein "Server Certificate" handeln.
Und die User-Certs müssen sich natürlich unterscheiden. ( z.B. username-host.domain.local ).
Diese müssen "User Certificates" sein. Wenn du eine User-Auth vornimmst, muss ein Cert natürlich auch einem User zugeordnet sein.
Läuft bei mir alles einwandfrei.
