Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Openvpn Server mit 2 CA verwenden

Mitglied: blindesHuhn

blindesHuhn (Level 1) - Jetzt verbinden

16.08.2019 um 14:29 Uhr, 330 Aufrufe, 9 Kommentare

Guten Tag,
ich habe einen Openvpn Server wo meine Ca veraltet ist. Das heißt es wir in den Zertifikaten noch MD5 verwendet.
da ich ich nicht alle Clients sofort mit neuen Zertifikaten ausstatten kann wäre meine frage ob man den Server mit zwei CAs verwenden kann?
So könnte ich schrittweise die Zertifikate erneuern.
Geht das?
Mitglied: semiconductor
16.08.2019 um 14:46 Uhr
Hallo,

ja, das sollte laut Hersteller funktionieren.
Dazu die zwei CA Zertifikate zu einer Datei verketten und diese Datei in der OpenVPN Config angeben.

Viele Grüße
Bitte warten ..
Mitglied: blindesHuhn
16.08.2019 um 14:51 Uhr
Gibt es dazu gute Doku? Oder Stichworte um das richtige zu finden?

Es ist schwer Doku dazu zu finden....oder ich suche das Falsche

Danke
Bitte warten ..
Mitglied: semiconductor
16.08.2019, aktualisiert um 14:58 Uhr
Doku zu was? Einfach den Inhalt von ca1.cert und ca2.cert kopieren und in eine neue Datei ca.cert einfügen.

So dass das ungf. so aussieht:

01.
-----BEGIN CERTIFICATE-----
02.
{Zertifikat CA1 in Base64}
03.
-----END CERTIFICATE-----
04.
-----BEGIN CERTIFICATE-----
05.
{Zertifikat CA2 in Base64}
06.
-----END CERTIFICATE-----
Bitte warten ..
Mitglied: blindesHuhn
16.08.2019 um 15:02 Uhr
Ja genau Zertifikatsketten!

Zitat von semiconductor:

So dass das ungf. so aussieht:

01.
-----BEGIN CERTIFICATE-----
02.
> {Zertifikat CA1 in Base64}
03.
> -----END CERTIFICATE-----
04.
> -----BEGIN CERTIFICATE-----
05.
> {Zertifikat CA2 in Base64}
06.
> -----END CERTIFICATE-----

Und mit den *.key auch? Was macht man mit den dh 2048 und dh4096.pem ?

Danke für die Hilfe
Bitte warten ..
Mitglied: 140777
16.08.2019, aktualisiert um 15:32 Uhr
Und mit den *.key auch? Was macht man mit den dh 2048 und dh4096.pem ?
Steht doch im Wiki wie man das einbettet:
https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage#lbAV

01.
<ca>
02.
-----BEGIN CERTIFICATE-----
03.
....
04.
-----END CERTIFICATE-----
05.
</ca>
06.
<cert>
07.
-----BEGIN CERTIFICATE-----
08.
....
09.
-----END CERTIFICATE-----
10.
</cert>
11.
<dh>
12.
-----BEGIN DH PARAMETERS-----
13.
.....
14.
-----END DH PARAMETERS-----
15.
</dh>
16.
<tls-auth>
17.
-----BEGIN OpenVPN Static key V1-----
18.
....
19.
-----END OpenVPN Static key V1-----
20.
</tls-auth>
usw.
Bitte warten ..
Mitglied: semiconductor
16.08.2019, aktualisiert um 15:50 Uhr
Und mit den *.key auch?

Du brauchst für das CA Zertifikat den privaten Schlüssel nicht.
Diesen bräuchtest du nur, um Zertifikate zu signieren und muss daher sehr gut geschützt werden.

Dort wird der Migrationsvorgang genauer beschrieben:
https://blog.hexonet.net/content/migrating-new-ca-for-openvpn

Was macht man mit den dh 2048 und dh4096.pem ?

Nichts. Den alten DH Schlüssel mit 2048 Bits ist sicher genug.
Aber wenn du paranoid bist, dann kannst du diesen gegen den 4096 Bits Schlüssel austauschen.
Bitte warten ..
Mitglied: blindesHuhn
17.08.2019 um 09:50 Uhr
Hallo und Danke für die Hilfe
Zitat von semiconductor:

Und mit den *.key auch?

Du brauchst für das CA Zertifikat den privaten Schlüssel nicht.
Diesen bräuchtest du nur, um Zertifikate zu signieren und muss daher sehr gut geschützt werden.

Kannst du mir das näher erklären? Ich habe bis jetzt für jeden Client in der Config de clients folgende File gebraucht.
dh dh4096.pem
cert clientxx.crt
key clientxx.key


Dort wird der Migrationsvorgang genauer beschrieben:
https://blog.hexonet.net/content/migrating-new-ca-for-openvpn

Was macht man mit den dh 2048 und dh4096.pem ?

Nichts. Den alten DH Schlüssel mit 2048 Bits ist sicher genug.
Aber wenn du paranoid bist, dann kannst du diesen gegen den 4096 Bits Schlüssel austauschen.
ok auch das wusste ich nicht.
Sorry das ich dumme Fragen stelle aber ich habe mehr mit Hardware zu tun und verwende Openvpn nur als Fehrnwartungs Zugang
Bitte warten ..
Mitglied: semiconductor
LÖSUNG 17.08.2019, aktualisiert um 10:23 Uhr
Kannst du mir das näher erklären? Ich habe bis jetzt für jeden Client in der Config de clients folgende File gebraucht.
dh dh4096.pem
cert clientxx.crt
key clientxx.key

Den Diffie-Hellman Schlüssel brauchst du nur auf den Server und nicht noch zusätzlich auf den Clients.
In der Herstellerdokumentation wird das übrigens auch erklärt, wo welches Zertifikat platziert werden muss, welche Schlüssel geheim gehalten werden müssen usw.
https://openvpn.net/community-resources/how-to/#setting-up-your-own-cert ...

Hab gerade mal nach ein paar guten Quellen recherchiert, wo das SSL/TLS und DH Verfahren gut und simple erklärt wird. Dabei bin ich auf das gestoßen:
https://www.it-bildungsnetz.de/fileadmin/media/Akademietag_2012/SC_VPN_L ...

Schau dir vor allem Punkt 2.8 Asymmetrische Verschlüsselung an.

Ansonsten findest du hier ausführlichere Informationen zu SSL/TLS und zum Diffie-Hellman Algorithmus:
https://www.elektronik-kompendium.de/sites/net/0902281.htm
http://informationssicherheit-mt.blogspot.com/2014/11/diffie-hellman-sc ...
https://de.wikipedia.org/wiki/Diffie-Hellman-Schlüsselaustausch
Bitte warten ..
Ähnliche Inhalte
Batch & Shell

OpenVPN - Verbindungsscript fehlgeschlagen Exitcode 2

Frage von Dante2191Batch & Shell17 Kommentare

Hallo zusammen, ich habe ein Problem beim Ausführen eines up-Scripts bei OpenVPN, was mich langsam die Nerven kostet. Hab ...

Router & Routing

WLAN Router mit 2 WLAN (OpenVPN)

gelöst Frage von EvilMoeRouter & Routing13 Kommentare

Guten Morgen, Ich suche einen WLAN Router, der folgendes kann. Er soll einen konfigurierbaren WAN Port besitzen (hat wohl ...

Utilities

OpenVPN - 2 Clients oder eher 1 Gateway ?

gelöst Frage von HenereUtilities5 Kommentare

Servus zusammen, in hatte ich ja bereits angefangen. Jetzt kommt bei mir die Frage auf. Ich muss aus dem ...

Sicherheit

OpenVPN zwischen 2 Server und ein Client

Frage von rasoul1989Sicherheit6 Kommentare

Hallo, ich habe ein kleines Problem. Ich hab 2 SPS als Server und möchte gleichzeitig den Servern mit meinem ...

Neue Wissensbeiträge
Hyper-V
Setup VM W2016 startet nicht in Hyper-V 2016
Erfahrungsbericht von keine-ahnung vor 23 StundenHyper-V4 Kommentare

Moin, sitze gerade über meinem neuen Server und versuche, die VM auf den Host zu prügeln. Jetzt wollte ich ...

Server-Hardware

HPE Proliant ML350P Gen8 Probleme mit Zugriff auf Raid-Volumes

Erfahrungsbericht von goscho vor 1 TagServer-Hardware1 Kommentar

Hallo Leute, das Problemgerät: HPE ML350P G8 Windows Server 2012R2 HyperV-Host 8 x 300 GB 10K SAS HDD (1 ...

Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Information von Snowbird vor 2 TagenHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Linux

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 3 TagenLinux13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Heiß diskutierte Inhalte
Netzwerkgrundlagen
Windows Server über Außen-IP nicht ansprechbar
Frage von uups81Netzwerkgrundlagen25 Kommentare

Hallo! Es gibt mehrere Windows Server (2016, 2019), die über einen zweiten Netzwerkadapter in einem lokalen Netzwerk miteinander verbunden ...

Microsoft
Windows 10 - Kombination von lokalen Benutzerkonten und Benutzern aus einer Domäne
Frage von PappnaseVxVVMicrosoft21 Kommentare

Hi, würde gerne folgendes realisieren, von dem ich gern wüsste, ob es geht. Ich habe einen Raum mit 3 ...

Grafikkarten & Monitore
Grafikkarten Angebot auf Amazon
gelöst Frage von NudellordGrafikkarten & Monitore21 Kommentare

Hallo Community, ich suche eine neue Grafikkarte und bin auf die Nvidea Gforce GTX 1080 ti gestoßen. Und dabei ...

Hyper-V
Keine Netzwerkverbindung W2016 VM
gelöst Frage von keine-ahnungHyper-V19 Kommentare

Moin, ich verliere gleich meine contenance ;-). Ich versuche gerade, auf einem Hyper-V 2016 GUI eine W2016-VM (Generation 2 ...