OpenVPN Zertifikat abgelaufen - Verbindung nicht möglich
Hi zusammen,
wie der Titel schon erzählt ist bei unserer Firma das OpenVPN ca.crt zusammen mit den Server Zertifikaten abgelaufen.
Leider ist der Mitarbeiter, der den Dienst vor 10 Jahren aufgebaut hat nicht mehr da und es bereitet mir Schwierigkeiten, den Dienst wieder zum Laufen zu bringen.
Die Frage kursiert ja oft im Netz aber ich hab leider noch nicht die passende Antwort gefunden, weder unter diversen Foren oder unter HOWTO bei der OpenVPN Seite.
Der Dienst ist auf einem WinServer 2008r2 installiert mit Windows 10 Clients.
Nach dem Ablauf des Stammzertifikates ca.crt habe ich mit in der Kommandozeile ein neues erstellt mit dem Befehl build-ca nachdem ich die vars.bat aufgerufen habe, aber nicht den Befehl clean-all benutzt.
Im nächsten Schritt auch neue server.crt zusammen mit server.key und server.csr erstellt mit dem Befehlt build-key-pass.
Die alten Zertifikate verschoben und dafür die neuen auf ihrer Stelle im Ordner platziert so wie die ca.crt auf meinem Client kopiert und dort die alte ca.crt gelöscht.
Auf Server und auf Client die Zertifikate unter vertrauenswürdige Zertifikate installiert.
Leider obwohl die ca.crt ersetzt wurde, versucht der Client bei der Verbindung immer noch das alte Zertifikat abzurufen.
Muss ich die dh2048.pem auch neu erstellen?
Die folgende Fehlermeldung tritt auf:
VERIFY ERROR: depth=0, error=unable to get local issuer certificate: ...
OpenSSL: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed.
zusammen mit den TLS ERROR Reports.
Wie schaffe ich es die neuen Zertifikate zu verifizieren oder signieren damit die Clients das neue Stammzertifikat abrufen?
Gäbe es eine Lösung ohne, dass ich den Dienst komplett vom neuen installiere?
Vielen Dank im Voraus.
Gruß
intane
wie der Titel schon erzählt ist bei unserer Firma das OpenVPN ca.crt zusammen mit den Server Zertifikaten abgelaufen.
Leider ist der Mitarbeiter, der den Dienst vor 10 Jahren aufgebaut hat nicht mehr da und es bereitet mir Schwierigkeiten, den Dienst wieder zum Laufen zu bringen.
Die Frage kursiert ja oft im Netz aber ich hab leider noch nicht die passende Antwort gefunden, weder unter diversen Foren oder unter HOWTO bei der OpenVPN Seite.
Der Dienst ist auf einem WinServer 2008r2 installiert mit Windows 10 Clients.
Nach dem Ablauf des Stammzertifikates ca.crt habe ich mit in der Kommandozeile ein neues erstellt mit dem Befehl build-ca nachdem ich die vars.bat aufgerufen habe, aber nicht den Befehl clean-all benutzt.
Im nächsten Schritt auch neue server.crt zusammen mit server.key und server.csr erstellt mit dem Befehlt build-key-pass.
Die alten Zertifikate verschoben und dafür die neuen auf ihrer Stelle im Ordner platziert so wie die ca.crt auf meinem Client kopiert und dort die alte ca.crt gelöscht.
Auf Server und auf Client die Zertifikate unter vertrauenswürdige Zertifikate installiert.
Leider obwohl die ca.crt ersetzt wurde, versucht der Client bei der Verbindung immer noch das alte Zertifikat abzurufen.
Muss ich die dh2048.pem auch neu erstellen?
Die folgende Fehlermeldung tritt auf:
VERIFY ERROR: depth=0, error=unable to get local issuer certificate: ...
OpenSSL: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed.
zusammen mit den TLS ERROR Reports.
Wie schaffe ich es die neuen Zertifikate zu verifizieren oder signieren damit die Clients das neue Stammzertifikat abrufen?
Gäbe es eine Lösung ohne, dass ich den Dienst komplett vom neuen installiere?
Vielen Dank im Voraus.
Gruß
intane
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 329347
Url: https://administrator.de/forum/openvpn-zertifikat-abgelaufen-verbindung-nicht-moeglich-329347.html
Ausgedruckt am: 28.12.2024 um 06:12 Uhr
31 Kommentare
Neuester Kommentar
Hallo,
die Zertifikate müssen dort hinkopiert werden, wo die OpenVPN config sagt das die Zertifikate (und keys) liegen.
Wenn es pkcs12 sind, dann ist der Key ja schon mit drinnen.
CA Zertifikat vom Server sollte kein Passwort haben.
Normalerweise liegen Config und Zertifikate unter: C:\Program Files\OpenVPN\config
Also wenn auf dem Client das CA Zertifikat und die Clientzertifikate an der richtigen Stelle sind sollte es gehen.
Gruß
Chonta
die Zertifikate müssen dort hinkopiert werden, wo die OpenVPN config sagt das die Zertifikate (und keys) liegen.
Wenn es pkcs12 sind, dann ist der Key ja schon mit drinnen.
CA Zertifikat vom Server sollte kein Passwort haben.
Normalerweise liegen Config und Zertifikate unter: C:\Program Files\OpenVPN\config
Also wenn auf dem Client das CA Zertifikat und die Clientzertifikate an der richtigen Stelle sind sollte es gehen.
Gruß
Chonta
Wenn OpenVPN das Zertifikat nicht nuten kann würde der Dienst nicht starten.
Kopiere die Zertifikate dorthin wo die Config ist die vom Binary genutzt wird.
Oder
Mit richtigen Pfardangaben und mit " " wenn der Pfad Leerzeichen hat.
Du kannst die Zertifikate auch auf einem anderem system erstellen, wichtig ist nur Server und Clients brauchen alle Zertifikate von der selben CA und dann passt das.
Der DH muss nicht neu gemacht werden.
Ggf. mal das Log posten. (einen Auszug)
Gruß
Chonta
Kopiere die Zertifikate dorthin wo die Config ist die vom Binary genutzt wird.
ca ca.crt
cert server.crt
key server.key
Oder
Mit richtigen Pfardangaben und mit " " wenn der Pfad Leerzeichen hat.
Du kannst die Zertifikate auch auf einem anderem system erstellen, wichtig ist nur Server und Clients brauchen alle Zertifikate von der selben CA und dann passt das.
Der DH muss nicht neu gemacht werden.
Ggf. mal das Log posten. (einen Auszug)
Gruß
Chonta
nd es bereitet mir Schwierigkeiten, den Dienst wieder zum Laufen zu bringen.
Warum ? Ein neues Zertifikat ist in 10 Minuten erstellt:OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Was soll daran schwer sein ?
ein neues erstellt mit dem Befehl build-ca
Richtig gemacht !aber nicht den Befehl clean-all benutzt.
Schlecht Im nächsten Schritt auch neue server.crt zusammen mit server.key und server.csr erstellt mit dem Befehlt build-key-pass.
Wieder richtig !Die alten Zertifikate verschoben
Besser komplett löschen um Probleme sicher zu vermeiden, sind ja eh nutzlos geworden !Auf Server und auf Client die Zertifikate unter vertrauenswürdige Zertifikate installiert.
Nee, falsch. Diese zeritfikate haben mit den Winblows Systemzertifikaten nix zu tun und sind separat !Deshalb ist das auch gleich prompt schief gegangen.
Sie dir die server.conf Datei auf dem OVPN Server an, die sagt dir in welchem Verzeichnis die Zertifikate stehen.
In der Regel ist das immer das easy-rsa Verzeichnis.
versucht der Client bei der Verbindung immer noch das alte Zertifikat abzurufen.
Das kommt weil du sie im Verzeichnis nicht gleich komplett gelöscht hast. Du solltest nur noch mit den Neuen arbeiten.Und dran denken das Zertifikatsverzeichnis von OVPN hat nichts mit dem Winblows Zerts zu tun !!
Gäbe es eine Lösung ohne, dass ich den Dienst komplett vom neuen installiere?
Ja natürlich. Du musst nix neu machen. Nur allte Zertifikatsdateien komplett löschen, neue generieren und in das entsprechende Zert Verzeichnis kopieren wenn sie nicht schon per default drin sind.Client Zertifikate genereien und auf die Clients in deren zert Verzeichnis kopieren.
Das wars.
Halte dich an das o.a. Tutorial. Die Zert Generierung auf OVPN ist für alle Plattformen immer gleich !
OpenVPN auf dem Client als Administrator (mit Adminrechten) gestartet?
Ohne können die Routen nicht gesetzt werden und dann geht nur die Verbindung zum VPN Server aber nicht weiter.
Wenn an den Konfigs nix außer den Zertifikaten geändert wurde, kann es nur daran liegen, außer es hat vorher schon nicht funktioniert.
Gruß
Chonta
Ohne können die Routen nicht gesetzt werden und dann geht nur die Verbindung zum VPN Server aber nicht weiter.
Wenn an den Konfigs nix außer den Zertifikaten geändert wurde, kann es nur daran liegen, außer es hat vorher schon nicht funktioniert.
Gruß
Chonta
ca.key sollte nur auf Serverseite
Der CA key sollte nur bei der CA sein und den braucht auch der Server nicht der Server braucht das CA Zertifikt, sein Zertifikat und seinen Key.Wenn das Symbol grün wird, dann besteht ja die Verbindung, wenn dann was nicht klappt, liegt es nicht an den Zertifikaten.
Es kann vorkommen das OpenVPN den Arp nicht löschen kann und dann wird die VErbindung zwar grün, aber man erreicht keinen.
Gruß
Chonta
Wie überprüfe ich ob die Arp richtig gelöscht wird,
Das siehst Du im Log wenn sich der Client verbindet, wenn nicht ist das Loglevel nicht brauchbar.Dan steht dann sher offt. das versucht wird den ARP zu löschen, und irgendwann ist die Verbindung grün, aber man erreicht niemanden.
Client neustaren und dann gleich kann helfen und oder Open-VPN in der aktuellen Version rüberbügeln.
Gruß
Chonta
Jap ARP ist ok.
Kommst Du auf den Server über VPN per RDP oder so rauf?
Das Clientnetz hat aber nicht den selben IP-Bereich wie das Zielnetz?
Was sagen die Routingtabellen von Server und Client?
Versuchst Du einen anderen Server als den VPN-Server zu erreichen? Wenn ja kennen die Clients/das Gateway die Route ins VPN Netz?
Gruß
Chonta
Kommst Du auf den Server über VPN per RDP oder so rauf?
Das Clientnetz hat aber nicht den selben IP-Bereich wie das Zielnetz?
Was sagen die Routingtabellen von Server und Client?
Versuchst Du einen anderen Server als den VPN-Server zu erreichen? Wenn ja kennen die Clients/das Gateway die Route ins VPN Netz?
Gruß
Chonta
RDP klappt auch.
Klappt oder klappt nicht?Normalerweise
Was Du normalerweise versucht zu erreichen ist zum Testen doch egal.Nein ich versuche es von einer externen IP.
?? Vpn steht also RDP Verbindung zum Server über die VPN IP und auch ein Versuch \\openvpn-ip-vom-server\Und danach mit der IP des OpenVPN-Servers aus dem Firmennetzwerk.
momentan nur die Frage ob man den neuen Namen auch woanders eintragen muss.
Also der Dateiname des Zertifikates ist egal, ausgestellt sollte es schon auf den fqdn und die IP vom Server sein, aber selbst wenn nicht wäre das egal.Die einzige Frage derzeit ist, wie weit und wohin kommst Du über den VPN Tunnel und wenn das geklärt ist kann man weiter machen.
Wenn alles noch so wäre wie vorher, müsste jetzt auch alles funktionieren.
Gruß
Chonta
Nein das ist auch wichtig.
Wenn eine CRL eingesetzt wird muss die auch stimmen und von der jetzigen CA kommen.
Oder man verwendet keine CRL
Das kommt davon wenn man keine Kompletten Konfigs postet
Ich weiß nicht wie sich OpenVPN verhält wenn die CRL (Liste mit abgelehnten Zertifikaten) nicht zur verwendeten CA passt, gut möglich das dann alles geblockt wird.
Gruß
Chonta
Wenn eine CRL eingesetzt wird muss die auch stimmen und von der jetzigen CA kommen.
Oder man verwendet keine CRL
Das kommt davon wenn man keine Kompletten Konfigs postet
Ich weiß nicht wie sich OpenVPN verhält wenn die CRL (Liste mit abgelehnten Zertifikaten) nicht zur verwendeten CA passt, gut möglich das dann alles geblockt wird.
Gruß
Chonta