x.509 Zertifikate erstellen

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • x.509 Zertifikate erstellen

    Hallo,
    klasse das ich dieses Forum gefunden habe TOP muss ich schon sagen.

    Aber kommen wir mal nun zum Problem :twisted:
    Ich versuch per OpenVPN die Einwahl in ein Internes Netz zu schaffen, soweit so gut, nun will ich aber vom PSK Auth auf x.509 Zertifikate und PSK umstellen.

    Wo bekomm ich den so ein Zertifikat her, das funktioniert und sicher ist.
    Ich weiss man kann zu den offiziellen CA Stellen gehen, aber wen man sich die Preise ansieht hauts einen ja von den Socken.

    Ein Programm, denke ich zumindest, hab ich gefunden mit dem man dieses wohl erstellen kann.
    abylonsoft.de/selfcert/download.htm
    Aber jedoch bin ich mir da ned sicher, ich habs schon erstellt und entsprechend importiert aber ich bekomme absolut kein Zugriff mehr.

    Ich hoffe das mir hier irgend jemand Rat geben kann wie ich das zum laufen bekomme.

    danke und liebe grüße
    redhat
    Wie kann man aus dem Rahmen fallen, wenn man noch nicht mal im Bilde war?
    efw 3.2.1 Community
  • Re: x.509 Zertifikate erstellen

    Hallo,

    das OpenVPN-Paket bringt (unter Windows) bereits eine Lösung zum Erstellen der X509-Zertifikate mit, die unter den meisten Linux-Distros auch schon vorhanden ist: OpenSSL. Dafür gibt es ein relativ übersichtliches HowTo auch auf der Seite von OpenVPN openvpn.net/howto.html#pki. Das einzige, was dabei nicht passt, ist die Tatsache, dass efw standardmäßig dedizierte Client-Zertifikate vom Klienten verlangt, die mit dem OpenVPN-Standard nicht erstellt werden. Die Lösung dafür findest Du aber auch in diesem Forum unter efw-forum.de/www/forum/viewtopic.php?f=7&t=61.

    Zum Hintergrund: Du benötigst nicht einfach nur ein X509-Zertifikat. Dieses muss zumindest von einer gültigen CA ("Zertifikat-Autorität") signiert sein und sollte für die Verwendung mit der efw auch bestimmten Typen entsprechen. Ich weiß nicht mehr, inwiefern selfcert eine CA-Signierung mitbringt und daher ggf. nutzbar wäre, aber mithilfe von OpenSSL kann man innerhalb kürzester Zeit eine eigene CA generieren und Server- und Client-Zertifikate erstellen, ohne dafür Zertifikate bei echten CA's zu ordern...

    Da ist zwar ein bisschen Einarbeitung erforderlich, aber danach kannst Du die Zertifikate mit gutem Gewissen als sicher ansehen (wenn Du diese nicht unsachgemäß behandelst, also nicht über ungesicherte Verbindungen verteilst, wie http, ftp, o.ä.).

    Gruß,
    Andreas
  • Re: x.509 Zertifikate erstellen

    Hallo,

    oh je da seh ich schon das ist doch ned so einfach.
    @devaux wenn dir das keine zu großen umstände macht ein HowTo zu schreiben wäre ich dir dankbar.

    Wie sichert Ihr sonnst euer OpenVPN Server ab für den Zugang der Clients ?

    gruß
    Wie kann man aus dem Rahmen fallen, wenn man noch nicht mal im Bilde war?
    efw 3.2.1 Community
  • Re: x.509 Zertifikate erstellen

    Hallo devaux,

    erstmal ein großes dankeschön das du dir die Mühe gemacht hast das so sorgfältig zu Dokumentieren.

    Werde mich mit der Thematik am Wochenende mal exclusiv befassen und hoffe ich kann auch entpsrechende Ergebnisse präsentieren.

    gruß redhat
    Wie kann man aus dem Rahmen fallen, wenn man noch nicht mal im Bilde war?
    efw 3.2.1 Community