blindeshuhn
Goto Top

Openvpn Server mit 2 CA verwenden

Guten Tag,
ich habe einen Openvpn Server wo meine Ca veraltet ist. Das heißt es wir in den Zertifikaten noch MD5 verwendet.
da ich ich nicht alle Clients sofort mit neuen Zertifikaten ausstatten kann wäre meine frage ob man den Server mit zwei CAs verwenden kann?
So könnte ich schrittweise die Zertifikate erneuern.
Geht das?

Content-Key: 485856

Url: https://administrator.de/contentid/485856

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: 140770
140770 16.08.2019 um 14:46:18 Uhr
Goto Top
Hallo,

ja, das sollte laut Hersteller funktionieren.
Dazu die zwei CA Zertifikate zu einer Datei verketten und diese Datei in der OpenVPN Config angeben.

Viele Grüße
Mitglied: blindesHuhn
blindesHuhn 16.08.2019 um 14:51:13 Uhr
Goto Top
Gibt es dazu gute Doku? Oder Stichworte um das richtige zu finden?

Es ist schwer Doku dazu zu finden....oder ich suche das Falsche

Danke
Mitglied: 140770
140770 16.08.2019 aktualisiert um 14:58:56 Uhr
Goto Top
Doku zu was? Einfach den Inhalt von ca1.cert und ca2.cert kopieren und in eine neue Datei ca.cert einfügen.

So dass das ungf. so aussieht:

-----BEGIN CERTIFICATE-----
{Zertifikat CA1 in Base64}
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
{Zertifikat CA2 in Base64}
-----END CERTIFICATE-----
Mitglied: blindesHuhn
blindesHuhn 16.08.2019 um 15:02:06 Uhr
Goto Top
Ja genau Zertifikatsketten!

Zitat von @140770:

So dass das ungf. so aussieht:

-----BEGIN CERTIFICATE-----
> {Zertifikat CA1 in Base64}
> -----END CERTIFICATE-----
> -----BEGIN CERTIFICATE-----
> {Zertifikat CA2 in Base64}
> -----END CERTIFICATE-----

Und mit den *.key auch? Was macht man mit den dh 2048 und dh4096.pem ?

Danke für die Hilfe
Mitglied: 140777
140777 16.08.2019 aktualisiert um 15:32:02 Uhr
Goto Top
Und mit den *.key auch? Was macht man mit den dh 2048 und dh4096.pem ?
Steht doch im Wiki wie man das einbettet:
https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage#lbAV

<ca>
-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----
</cert>
<dh>
-----BEGIN DH PARAMETERS-----
.....
-----END DH PARAMETERS-----
</dh>
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
....
-----END OpenVPN Static key V1-----
</tls-auth>
usw.
Mitglied: 140770
140770 16.08.2019 aktualisiert um 15:50:53 Uhr
Goto Top
Und mit den *.key auch?

Du brauchst für das CA Zertifikat den privaten Schlüssel nicht.
Diesen bräuchtest du nur, um Zertifikate zu signieren und muss daher sehr gut geschützt werden.

Dort wird der Migrationsvorgang genauer beschrieben:
https://blog.hexonet.net/content/migrating-new-ca-for-openvpn

Was macht man mit den dh 2048 und dh4096.pem ?

Nichts. Den alten DH Schlüssel mit 2048 Bits ist sicher genug.
Aber wenn du paranoid bist, dann kannst du diesen gegen den 4096 Bits Schlüssel austauschen.
Mitglied: blindesHuhn
blindesHuhn 17.08.2019 um 09:50:45 Uhr
Goto Top
Hallo und Danke für die Hilfe
Zitat von @140770:

Und mit den *.key auch?

Du brauchst für das CA Zertifikat den privaten Schlüssel nicht.
Diesen bräuchtest du nur, um Zertifikate zu signieren und muss daher sehr gut geschützt werden.

Kannst du mir das näher erklären? Ich habe bis jetzt für jeden Client in der Config de clients folgende File gebraucht.
dh dh4096.pem
cert clientxx.crt
key clientxx.key


Dort wird der Migrationsvorgang genauer beschrieben:
https://blog.hexonet.net/content/migrating-new-ca-for-openvpn

Was macht man mit den dh 2048 und dh4096.pem ?

Nichts. Den alten DH Schlüssel mit 2048 Bits ist sicher genug.
Aber wenn du paranoid bist, dann kannst du diesen gegen den 4096 Bits Schlüssel austauschen.
ok auch das wusste ich nicht.
Sorry das ich dumme Fragen stelle aber ich habe mehr mit Hardware zu tun und verwende Openvpn nur als Fehrnwartungs Zugang
Mitglied: 140770
Lösung 140770 17.08.2019 aktualisiert um 10:23:07 Uhr
Goto Top
Kannst du mir das näher erklären? Ich habe bis jetzt für jeden Client in der Config de clients folgende File gebraucht.
dh dh4096.pem
cert clientxx.crt
key clientxx.key

Den Diffie-Hellman Schlüssel brauchst du nur auf den Server und nicht noch zusätzlich auf den Clients.
In der Herstellerdokumentation wird das übrigens auch erklärt, wo welches Zertifikat platziert werden muss, welche Schlüssel geheim gehalten werden müssen usw.
https://openvpn.net/community-resources/how-to/#setting-up-your-own-cert ...

Hab gerade mal nach ein paar guten Quellen recherchiert, wo das SSL/TLS und DH Verfahren gut und simple erklärt wird. Dabei bin ich auf das gestoßen:
https://www.it-bildungsnetz.de/fileadmin/media/Akademietag_2012/SC_VPN_L ...

Schau dir vor allem Punkt 2.8 Asymmetrische Verschlüsselung an.

Ansonsten findest du hier ausführlichere Informationen zu SSL/TLS und zum Diffie-Hellman Algorithmus:
https://www.elektronik-kompendium.de/sites/net/0902281.htm
http://informationssicherheit-mt.blogspot.com/2014/11/diffie-hellman-sc ...
https://de.wikipedia.org/wiki/Diffie-Hellman-Schlüsselaustausch
Mitglied: blindesHuhn
blindesHuhn 17.08.2019 um 17:47:27 Uhr
Goto Top
Danke