9
Openvpn Server mit 2 CA verwenden
Guten Tag,
ich habe einen Openvpn Server wo meine Ca veraltet ist. Das heißt es wir in den Zertifikaten noch MD5 verwendet.
da ich ich nicht alle Clients sofort mit neuen Zertifikaten ausstatten kann wäre meine frage ob man den Server mit zwei CAs verwenden kann?
So könnte ich schrittweise die Zertifikate erneuern.
Geht das?
ich habe einen Openvpn Server wo meine Ca veraltet ist. Das heißt es wir in den Zertifikaten noch MD5 verwendet.
da ich ich nicht alle Clients sofort mit neuen Zertifikaten ausstatten kann wäre meine frage ob man den Server mit zwei CAs verwenden kann?
So könnte ich schrittweise die Zertifikate erneuern.
Geht das?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 485856
Url: https://administrator.de/contentid/485856
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
ja, das sollte laut Hersteller funktionieren.
Dazu die zwei CA Zertifikate zu einer Datei verketten und diese Datei in der OpenVPN Config angeben.
Viele Grüße
ja, das sollte laut Hersteller funktionieren.
Dazu die zwei CA Zertifikate zu einer Datei verketten und diese Datei in der OpenVPN Config angeben.
Viele Grüße
Gibt es dazu gute Doku? Oder Stichworte um das richtige zu finden?
Es ist schwer Doku dazu zu finden....oder ich suche das Falsche
Danke
Es ist schwer Doku dazu zu finden....oder ich suche das Falsche
Danke
Doku zu was? Einfach den Inhalt von ca1.cert und ca2.cert kopieren und in eine neue Datei ca.cert einfügen.
So dass das ungf. so aussieht:
So dass das ungf. so aussieht:
-----BEGIN CERTIFICATE-----
{Zertifikat CA1 in Base64}
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
{Zertifikat CA2 in Base64}
-----END CERTIFICATE-----
Ja genau Zertifikatsketten!
Und mit den *.key auch? Was macht man mit den dh 2048 und dh4096.pem ?
Danke für die Hilfe
Zitat von @140770:
So dass das ungf. so aussieht:
-----BEGIN CERTIFICATE-----
> {Zertifikat CA1 in Base64}
> -----END CERTIFICATE-----
> -----BEGIN CERTIFICATE-----
> {Zertifikat CA2 in Base64}
> -----END CERTIFICATE-----Und mit den *.key auch? Was macht man mit den dh 2048 und dh4096.pem ?
Danke für die Hilfe
Und mit den *.key auch? Was macht man mit den dh 2048 und dh4096.pem ?
Steht doch im Wiki wie man das einbettet:https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage#lbAV
<ca>
-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----
</cert>
<dh>
-----BEGIN DH PARAMETERS-----
.....
-----END DH PARAMETERS-----
</dh>
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
....
-----END OpenVPN Static key V1-----
</tls-auth>Und mit den *.key auch?
Du brauchst für das CA Zertifikat den privaten Schlüssel nicht.
Diesen bräuchtest du nur, um Zertifikate zu signieren und muss daher sehr gut geschützt werden.
Dort wird der Migrationsvorgang genauer beschrieben:
https://blog.hexonet.net/content/migrating-new-ca-for-openvpn
Was macht man mit den dh 2048 und dh4096.pem ?
Nichts. Den alten DH Schlüssel mit 2048 Bits ist sicher genug.
Aber wenn du paranoid bist, dann kannst du diesen gegen den 4096 Bits Schlüssel austauschen.
Hallo und Danke für die Hilfe
dh dh4096.pem
cert clientxx.crt
key clientxx.key
Sorry das ich dumme Fragen stelle aber ich habe mehr mit Hardware zu tun und verwende Openvpn nur als Fehrnwartungs Zugang
Zitat von @140770:
Du brauchst für das CA Zertifikat den privaten Schlüssel nicht.
Diesen bräuchtest du nur, um Zertifikate zu signieren und muss daher sehr gut geschützt werden.
Kannst du mir das näher erklären? Ich habe bis jetzt für jeden Client in der Config de clients folgende File gebraucht.Und mit den *.key auch?
Du brauchst für das CA Zertifikat den privaten Schlüssel nicht.
Diesen bräuchtest du nur, um Zertifikate zu signieren und muss daher sehr gut geschützt werden.
dh dh4096.pem
cert clientxx.crt
key clientxx.key
Dort wird der Migrationsvorgang genauer beschrieben:
https://blog.hexonet.net/content/migrating-new-ca-for-openvpn
Nichts. Den alten DH Schlüssel mit 2048 Bits ist sicher genug.
Aber wenn du paranoid bist, dann kannst du diesen gegen den 4096 Bits Schlüssel austauschen.
ok auch das wusste ich nicht.https://blog.hexonet.net/content/migrating-new-ca-for-openvpn
Was macht man mit den dh 2048 und dh4096.pem ?
Nichts. Den alten DH Schlüssel mit 2048 Bits ist sicher genug.
Aber wenn du paranoid bist, dann kannst du diesen gegen den 4096 Bits Schlüssel austauschen.
Sorry das ich dumme Fragen stelle aber ich habe mehr mit Hardware zu tun und verwende Openvpn nur als Fehrnwartungs Zugang
Kannst du mir das näher erklären? Ich habe bis jetzt für jeden Client in der Config de clients folgende File gebraucht.
dh dh4096.pem
cert clientxx.crt
key clientxx.key
dh dh4096.pem
cert clientxx.crt
key clientxx.key
Den Diffie-Hellman Schlüssel brauchst du nur auf den Server und nicht noch zusätzlich auf den Clients.
In der Herstellerdokumentation wird das übrigens auch erklärt, wo welches Zertifikat platziert werden muss, welche Schlüssel geheim gehalten werden müssen usw.
https://openvpn.net/community-resources/how-to/#setting-up-your-own-cert ...
Hab gerade mal nach ein paar guten Quellen recherchiert, wo das SSL/TLS und DH Verfahren gut und simple erklärt wird. Dabei bin ich auf das gestoßen:
https://www.it-bildungsnetz.de/fileadmin/media/Akademietag_2012/SC_VPN_L ...
Schau dir vor allem Punkt 2.8 Asymmetrische Verschlüsselung an.
Ansonsten findest du hier ausführlichere Informationen zu SSL/TLS und zum Diffie-Hellman Algorithmus:
https://www.elektronik-kompendium.de/sites/net/0902281.htm
http://informationssicherheit-mt.blogspot.com/2014/11/diffie-hellman-sc ...
https://de.wikipedia.org/wiki/Diffie-Hellman-Schlüsselaustausch
Danke
