netzer2021
Goto Top

Umgang private keys auf OPNsense

Hallo Community,

ich habe bei einer - vermutlicher Anfänger - Frage mal wieder ein mittel-großes Brett vorm Kopf.

Ich nutze in meinem Homelab aktuell ein self-signed certificate, welches ich entsprechend manuell auf meine Geräte sowie Nginx Proxy Manager verteile. Zertifiziert wird mittels eigenserstellen itermediate und root CA. Aktuell alles über OPNsense erstellt.

Worum es mir geht, ist der Umgang mit den private Keys. Es heißt doch die sollen sicher sein, mögichst extern gespeichert werden. Ich finde aktuell leider keinen Weg und kann es mir auch irgendwie nicht ganz erklären, wie dann die Ver- un Entschlüsselung klappen soll, wenn ein Paar fehlt.

Müssen die CA und iCA wieder von der Sense entfernt werden?

Bei der Erstellung des reinen Zertifikates kann ich auswählen wo der priv. key hin soll. Importiere ich hingegen ist der private Key nach "save" auch auf der Sense.

Wie gehe ich hier vor? Aktull liegen die priv auf der sense.

Danke euch!

Content-Key: 4409112933

Url: https://administrator.de/contentid/4409112933

Printed on: February 2, 2023 at 00:02 o'clock

Mitglied: 4400667902
4400667902 Oct 27, 2022 updated at 10:14:27 (UTC)
Goto Top
Moin.
Nun, in der Regel haben die private Keys von CAs nichts auf einem Router verloren. Der Router muss der CA nur vertrauen und dazu braucht er den private Key der CA auf keinen Fall! Also kannst du die CA samt private key exportieren (z.B. als *.pfx container), die CA vom Router selbst löschen und nur den Public Key der CA wieder importieren damit der Router ihr wieder vertraut.
Das signieren neuer Zertifikate musst du dann aber woanders tun denn für das Signieren neuer Zertifikate braucht es wie allgemein bekannt ist, den private Key der CA! Ist eigentlich alles absolutes Zertifikate-Basiswissen ...

U.
Member: netzer2021
netzer2021 Oct 27, 2022 at 10:18:12 (UTC)
Goto Top
Danke für das Feedback. Klingt logisch und nachdem was ich auch erahnt habe. Mache mich mal ab die Umsetzung.

Heißt doch ich kann auf der Sense ein Cert auch ohne den priv key importieren?
Mitglied: 4400667902
4400667902 Oct 27, 2022 updated at 10:19:22 (UTC)
Goto Top
Zitat von @netzer2021:
Heißt doch ich kann auf der Sense ein Cert auch ohne den priv key importieren?
Sicher! Du brauchst nur den Public Key der CA.
Member: netzer2021
netzer2021 Oct 27, 2022 at 10:21:24 (UTC)
Goto Top
Ok. Bisher hab ich gesehen und gelesen, dass immer der priv key auch copiers werden muss.
Mitglied: 4400667902
4400667902 Oct 27, 2022 updated at 10:25:36 (UTC)
Goto Top
Zitat von @netzer2021:

Ok. Bisher hab ich gesehen und gelesen, dass immer der priv key auch copiers werden muss.
Den brauchst du wie gesagt nur wenn das Gerät in das du importierst auch Zertifikate vor Ort signieren soll, ist das nicht der Fall brauchst du den auch nicht.

screenshot

Anders sieht es aus wenn du ein Server-Zertifikat ausstellst. Da braucht das jeweilige Gerät immer beide Teile (private und public), weil das Gerät ja Daten vor Ort verschlüsseln und nicht nur validieren können muss.
Member: netzer2021
netzer2021 Oct 30, 2022 at 18:09:35 (UTC)
Goto Top
ok, danke. vestehe.
Dann kann ich die CA und iCA im Grunde vom Gerät entfernen, weitere signierungen mache ich dann z.B.: auf einem anderen Gerät mit openssl.
In meinem Fall habe ich das mir das reine Zertifikat mal angesehen. Bei den CAs kann ich ohne priv Key importieren. Bei Zertifikat geht das aber nicht, dort ist priv Key Pflicht. Speichern oder nicht kann ich nur bei der Erstelllung eines neuen Zertifikates per Gui auswählen.
Member: netzer2021
Solution netzer2021 Oct 31, 2022 at 10:15:52 (UTC)
Goto Top
Okay, da ich eh ein Client und Server Zertifikat in einem ausgestellt habe, hat sich das soweit erledigt.