Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Openvpn Server mit 2 CA verwenden

Mitglied: blindesHuhn

blindesHuhn (Level 1) - Jetzt verbinden

16.08.2019 um 14:29 Uhr, 1718 Aufrufe, 9 Kommentare

Guten Tag,
ich habe einen Openvpn Server wo meine Ca veraltet ist. Das heißt es wir in den Zertifikaten noch MD5 verwendet.
da ich ich nicht alle Clients sofort mit neuen Zertifikaten ausstatten kann wäre meine frage ob man den Server mit zwei CAs verwenden kann?
So könnte ich schrittweise die Zertifikate erneuern.
Geht das?
Mitglied: 140770
16.08.2019 um 14:46 Uhr
Hallo,

ja, das sollte laut Hersteller funktionieren.
Dazu die zwei CA Zertifikate zu einer Datei verketten und diese Datei in der OpenVPN Config angeben.

Viele Grüße
Bitte warten ..
Mitglied: blindesHuhn
16.08.2019 um 14:51 Uhr
Gibt es dazu gute Doku? Oder Stichworte um das richtige zu finden?

Es ist schwer Doku dazu zu finden....oder ich suche das Falsche

Danke
Bitte warten ..
Mitglied: 140770
16.08.2019, aktualisiert um 14:58 Uhr
Doku zu was? Einfach den Inhalt von ca1.cert und ca2.cert kopieren und in eine neue Datei ca.cert einfügen.

So dass das ungf. so aussieht:

Bitte warten ..
Mitglied: blindesHuhn
16.08.2019 um 15:02 Uhr
Ja genau Zertifikatsketten!

Zitat von 140770:

So dass das ungf. so aussieht:


Und mit den *.key auch? Was macht man mit den dh 2048 und dh4096.pem ?

Danke für die Hilfe
Bitte warten ..
Mitglied: 140777
16.08.2019, aktualisiert um 15:32 Uhr
Und mit den *.key auch? Was macht man mit den dh 2048 und dh4096.pem ?
Steht doch im Wiki wie man das einbettet:
https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage#lbAV

usw.
Bitte warten ..
Mitglied: 140770
16.08.2019, aktualisiert um 15:50 Uhr
Und mit den *.key auch?

Du brauchst für das CA Zertifikat den privaten Schlüssel nicht.
Diesen bräuchtest du nur, um Zertifikate zu signieren und muss daher sehr gut geschützt werden.

Dort wird der Migrationsvorgang genauer beschrieben:
https://blog.hexonet.net/content/migrating-new-ca-for-openvpn

Was macht man mit den dh 2048 und dh4096.pem ?

Nichts. Den alten DH Schlüssel mit 2048 Bits ist sicher genug.
Aber wenn du paranoid bist, dann kannst du diesen gegen den 4096 Bits Schlüssel austauschen.
Bitte warten ..
Mitglied: blindesHuhn
17.08.2019 um 09:50 Uhr
Hallo und Danke für die Hilfe
Zitat von 140770:

Und mit den *.key auch?

Du brauchst für das CA Zertifikat den privaten Schlüssel nicht.
Diesen bräuchtest du nur, um Zertifikate zu signieren und muss daher sehr gut geschützt werden.

Kannst du mir das näher erklären? Ich habe bis jetzt für jeden Client in der Config de clients folgende File gebraucht.
dh dh4096.pem
cert clientxx.crt
key clientxx.key


Dort wird der Migrationsvorgang genauer beschrieben:
https://blog.hexonet.net/content/migrating-new-ca-for-openvpn

Was macht man mit den dh 2048 und dh4096.pem ?

Nichts. Den alten DH Schlüssel mit 2048 Bits ist sicher genug.
Aber wenn du paranoid bist, dann kannst du diesen gegen den 4096 Bits Schlüssel austauschen.
ok auch das wusste ich nicht.
Sorry das ich dumme Fragen stelle aber ich habe mehr mit Hardware zu tun und verwende Openvpn nur als Fehrnwartungs Zugang
Bitte warten ..
Mitglied: 140770
LÖSUNG 17.08.2019, aktualisiert um 10:23 Uhr
Kannst du mir das näher erklären? Ich habe bis jetzt für jeden Client in der Config de clients folgende File gebraucht.
dh dh4096.pem
cert clientxx.crt
key clientxx.key

Den Diffie-Hellman Schlüssel brauchst du nur auf den Server und nicht noch zusätzlich auf den Clients.
In der Herstellerdokumentation wird das übrigens auch erklärt, wo welches Zertifikat platziert werden muss, welche Schlüssel geheim gehalten werden müssen usw.
https://openvpn.net/community-resources/how-to/#setting-up-your-own-cert ...

Hab gerade mal nach ein paar guten Quellen recherchiert, wo das SSL/TLS und DH Verfahren gut und simple erklärt wird. Dabei bin ich auf das gestoßen:
https://www.it-bildungsnetz.de/fileadmin/media/Akademietag_2012/SC_VPN_L ...

Schau dir vor allem Punkt 2.8 Asymmetrische Verschlüsselung an.

Ansonsten findest du hier ausführlichere Informationen zu SSL/TLS und zum Diffie-Hellman Algorithmus:
https://www.elektronik-kompendium.de/sites/net/0902281.htm
http://informationssicherheit-mt.blogspot.com/2014/11/diffie-hellman-sc ...
https://de.wikipedia.org/wiki/Diffie-Hellman-Schlüsselaustausch
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
2 OpenVPN netzwerke
Frage von McquadederwolfLAN, WAN, Wireless4 Kommentare

Hallo, ich habe ein Problem. Ich habe 2 VPN Netzwerke. Das erste openvpn läuft auf Linux und hat die ...

Netzwerke
Openvpn 2 Netzwerke verbinden
Frage von sd45asNetzwerke7 Kommentare

Ich habe 2 Raspberry und diese habe ich mit openvpn miteinander verbunden einer ist der Server und der andere ...

Batch & Shell

OpenVPN - Verbindungsscript fehlgeschlagen Exitcode 2

Frage von Dante2191Batch & Shell17 Kommentare

Hallo zusammen, ich habe ein Problem beim Ausführen eines up-Scripts bei OpenVPN, was mich langsam die Nerven kostet. Hab ...

Router & Routing

2 Netzwerke miteinander verbinden über OpenVPN

Frage von Heinz189Router & Routing12 Kommentare

Hallo zusammen, ich wollte gerne unser Zuhause mit dem Büro per VPN verbinden. Hierzu hätte ich ein Paar Fragen. ...

Neue Wissensbeiträge
Sicherheit

Eine ungepatchte Sicherheitslücke in der Windows Druckerwarteschlange ermöglicht das Ausführen von Malware mit Adminrechten

Information von transocean vor 1 TagSicherheit

Moin, eigentlich sollte die Sicherheitslücke schon seit Mai 2020 geschlossen sein. Aber lest selbst. Grüße Uwe

Erkennung und -Abwehr

Liste ungeschützter Pulse-VPN-Server veröffentlicht

Information von Visucius vor 3 TagenErkennung und -Abwehr

bzw. Der tiefe Blick in die Profi-Administratoren-Welt ;-)

Windows 10

Windows Defender verhindert Telemetrieblocking via hosts-Datei

Information von BirdyB vor 3 TagenWindows 102 Kommentare

Für diejenigen, die keine Daten an MS senden wollten, war die hosts-Datei manchmal eine Option.

Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 6 TagenMonitoring2 Kommentare

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Heiß diskutierte Inhalte
Windows Server
GPO Programme an User verteilen
Frage von ILeonardWindows Server13 Kommentare

Hallo, ich möchte über GPO Programme an User verteilen allerdings funktioniert das nicht, um gleich ein paar Dinge zu ...

CPU, RAM, Mainboards
LED Lüfter und LED LEiste dunkel beim einloggen
Frage von uridium69CPU, RAM, Mainboards12 Kommentare

Moin Ich habe einen PC mit einem ASUS RGB tauglichen Board, dort habe ich einerseits einen CPU Lüfter mit ...

Batch & Shell
Dateinamen vorne abschneiden
Frage von JoeKnapeBatch & Shell8 Kommentare

wer kann mir helfen ich habe auf einem synology NAS ein script, was mir alle möglichen dateitypen in einem ...

Batch & Shell
Mit Powershell zwei Prozesse mit gleichem Prozessname und unterschiedlichen Parameter überprüfen und ggf. erneut starten
Frage von DarkFireBatch & Shell6 Kommentare

Hallo Zusammen, ich versuche seit Stunden zwei Prozesse mit gleichem Prozessname, gleichen Verzeichnis in WIn10 mittles Powershell zu überprüfen ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...