Openvpn Server mit 2 CA verwenden
Guten Tag,
ich habe einen Openvpn Server wo meine Ca veraltet ist. Das heißt es wir in den Zertifikaten noch MD5 verwendet.
da ich ich nicht alle Clients sofort mit neuen Zertifikaten ausstatten kann wäre meine frage ob man den Server mit zwei CAs verwenden kann?
So könnte ich schrittweise die Zertifikate erneuern.
Geht das?
ich habe einen Openvpn Server wo meine Ca veraltet ist. Das heißt es wir in den Zertifikaten noch MD5 verwendet.
da ich ich nicht alle Clients sofort mit neuen Zertifikaten ausstatten kann wäre meine frage ob man den Server mit zwei CAs verwenden kann?
So könnte ich schrittweise die Zertifikate erneuern.
Geht das?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 485856
Url: https://administrator.de/forum/openvpn-server-mit-2-ca-verwenden-485856.html
Ausgedruckt am: 27.12.2024 um 15:12 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
ja, das sollte laut Hersteller funktionieren.
Dazu die zwei CA Zertifikate zu einer Datei verketten und diese Datei in der OpenVPN Config angeben.
Viele Grüße
ja, das sollte laut Hersteller funktionieren.
Dazu die zwei CA Zertifikate zu einer Datei verketten und diese Datei in der OpenVPN Config angeben.
Viele Grüße
Doku zu was? Einfach den Inhalt von ca1.cert und ca2.cert kopieren und in eine neue Datei ca.cert einfügen.
So dass das ungf. so aussieht:
So dass das ungf. so aussieht:
-----BEGIN CERTIFICATE-----
{Zertifikat CA1 in Base64}
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
{Zertifikat CA2 in Base64}
-----END CERTIFICATE-----
Und mit den *.key auch? Was macht man mit den dh 2048 und dh4096.pem ?
Steht doch im Wiki wie man das einbettet:https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage#lbAV
<ca>
-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----
</cert>
<dh>
-----BEGIN DH PARAMETERS-----
.....
-----END DH PARAMETERS-----
</dh>
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
....
-----END OpenVPN Static key V1-----
</tls-auth>
Und mit den *.key auch?
Du brauchst für das CA Zertifikat den privaten Schlüssel nicht.
Diesen bräuchtest du nur, um Zertifikate zu signieren und muss daher sehr gut geschützt werden.
Dort wird der Migrationsvorgang genauer beschrieben:
https://blog.hexonet.net/content/migrating-new-ca-for-openvpn
Was macht man mit den dh 2048 und dh4096.pem ?
Nichts. Den alten DH Schlüssel mit 2048 Bits ist sicher genug.
Aber wenn du paranoid bist, dann kannst du diesen gegen den 4096 Bits Schlüssel austauschen.
Kannst du mir das näher erklären? Ich habe bis jetzt für jeden Client in der Config de clients folgende File gebraucht.
dh dh4096.pem
cert clientxx.crt
key clientxx.key
dh dh4096.pem
cert clientxx.crt
key clientxx.key
Den Diffie-Hellman Schlüssel brauchst du nur auf den Server und nicht noch zusätzlich auf den Clients.
In der Herstellerdokumentation wird das übrigens auch erklärt, wo welches Zertifikat platziert werden muss, welche Schlüssel geheim gehalten werden müssen usw.
https://openvpn.net/community-resources/how-to/#setting-up-your-own-cert ...
Hab gerade mal nach ein paar guten Quellen recherchiert, wo das SSL/TLS und DH Verfahren gut und simple erklärt wird. Dabei bin ich auf das gestoßen:
https://www.it-bildungsnetz.de/fileadmin/media/Akademietag_2012/SC_VPN_L ...
Schau dir vor allem Punkt 2.8 Asymmetrische Verschlüsselung an.
Ansonsten findest du hier ausführlichere Informationen zu SSL/TLS und zum Diffie-Hellman Algorithmus:
https://www.elektronik-kompendium.de/sites/net/0902281.htm
http://informationssicherheit-mt.blogspot.com/2014/11/diffie-hellman-sc ...
https://de.wikipedia.org/wiki/Diffie-Hellman-Schlüsselaustausch