Forum: PC Hard- und Software OpenVPN-Server: Mehrere CAs übergangsweise parallel betreiben


OpenVPN-Server: Mehrere CAs übergangsweise parallel betreiben
von Peter (Gast)

Lesenswert? 

Hallo Zusammen,

ich habe hier einen OpenVPN-Server, welcher den Gateway zu einem 
geschützten Netz bildet. Da mehrere Benutzer (clients) sich damit 
verbinden, erfolgt die Authorisierung über eine PKI. Die entsprechende 
CA signiert dazu die Zertifikate welche Server wie auch die Clients 
verwenden, zusätzlich ist das CA-Zertifikat auf Server und Client 
hinterlegt und wird überprüft um Man-In-The-Middle-Attacks zu verhindern 
(Zeile "ca" in der OpenVPN-Konfig).

Diese CA läuft nun in näherer Zeit aus und soll durch eine neue CA 
ersetzt werden, da gleichzeitig der CommonName geändert werden soll. Ich 
bin nun am überlegen, wie ich diesen Übergang möglichst schmerzlos für 
die Clients durchführen kann. Kennt jemand eine Möglichkeit, auf einem 
OpenVPN-Server gleichzeitig mehrere CAs zu installieren, so dass der 
Server abhängig davon, ob der Client ein Zertifikat signiert von der 
alten oder neuen CA entsprechend die richtige CA wählt?

Über Ideen oder Tipps zu weiterführender Literatur würde ich mich 
freuen,

Peter

Beitrag melden Bearbeiten Thread verschieben Thread sperren Anmeldepflicht aktivieren Anpinnen Thread löschen Thread mit anderem zusammenführen Markierten Text zitieren Antwort Antwort mit Zitat
Re: OpenVPN-Server: Mehrere CAs übergangsweise parallel betreiben
von Peter II (Gast)

Lesenswert? 

https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage

--ca file Certificate authority (CA) file in .pem format, also referred 
to as the root certificate. This file can have multiple certificates in 
.pem format, concatenated together. You can construct your own 
certificate authority certificate and private key by using a command 
such as:

wenn ich das richtig lese, kannst du einfach beide CA einfügen.

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Re: OpenVPN-Server: Mehrere CAs übergangsweise parallel betreiben
von Peter (Gast)

Lesenswert? 

Vielen Dank für deine Antwort.

Es scheint prinzipiell recht einfach: Das ca-File vom Client muss die CA 
beinhalten, welche das Serverzertifikat signiert hat. Und umgekehrt. 
Beide müssen nicht zwangsläufig übereinstimmen. Somit kann ich ein um 
die neue CA ergänztes CA-File verteilen und anschließend gemütlich 
Server- und alle Clientzertifikate nach und nach austauschen.

Peter

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Re: OpenVPN-Server: Mehrere CAs übergangsweise parallel betreiben
von Jürgen (Gast)

Lesenswert? 

Hallo,
ich stehe gerade vor der gleichen Aufgabe und versinke gerade in der 
"Flut an Informationen" zu diesem Thema:
hat die Umstellung auf dem angerissenen Weg funktioniert?
Jürgen

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Thread beobachten | Seitenaufteilung abschalten
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.