OpenVPN csatlakozási igények!

Web, mail, IRC, IM, hálózatok

Sziasztok!

A következő problémával szembesültem.

Adott a cégünk, megszokott openvpn használat a következő.

Szerveren ca.key, ca.crt, servert.csr, crt, key fileok. A kliensen ugyan ez, csak ugye ott nem szerver.csr, hanem mondjuk client.csr.

Egy német cég szeretne úgy csatlakozni hozzánk openvpn-en, hogy csak 2 file legyen, ezeket kéne nekem elküldeni nekik.

Kell egy .conf file, ami, még nem is okoz gondot. Viszont kérnek egy .cert file-t is, melyben benne van a ca.crt stb., és ezen kívül semmi mást nem várnak, ezzel a két file-al csatlakoznának hozzánk.

Hogy lehet létrehozni a szerveren ezt a filet?

Küldtek egy mintát, de a létrehozása nem megy.

xxx.cert

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

key-direction 1

#
# 2048 bit OpenVPN static key (Server Agent)
#
-----BEGIN OpenVPN Static key V1-----
dd924311b1e08b658bc2b623a7167a7a
ac761814640f6c3be57c0cd58387ed61
45559131ef8e4a77b8652c7fcc13f105
4dcf19135fccaaa83173d922c15c51f2
2b1fac0531ccac58ce6eddc6850bcd44
31fd327db09ad225b33759a8a4451585
2c8ab7b8b377795dfba277454ae986af
cf0505097d3f8545a48e8f4e078ae2b9
cbd534c088cb7f128fb4b9fd5edd69b8
529ffbb08372676eb5a21cbb4227902a
651d18a42b105447c20e50177efefe7b
014325ff743d9d79586bd1db0c60b90b
c9a1e751a98552fb74ed8d0598d67f44
c1d4201a1e0fe3d87f14f3cb3e4ac90c
e5f86e6ebf3218cf70de77be15b74694
0716bb3abd4e818864dbeb1c237b89ed
-----END OpenVPN Static key V1-----

## -----BEGIN RSA SIGNATURE-----
## DIGEST:sha256
## ZIVsu+Zn1TwNB6urh36R94+qC0N+UHLh2/nlnMr5BHbYagmTKr
## WYSDQQCxLgWW7MLwiBx6+RZSNb0Nz9OWjvZ+fNYvkpjzOrTCi/
## a4H2mswq4sC+fMa1jb5+rmZ6bYPus+geJnTOk0CRnxCTwZlLUp
## Qw8QCQoczy5bUnb2z53LQ=
## -----END RSA SIGNATURE-----
## -----BEGIN CERTIFICATE-----
## MIIB+zCCAWSgAwIBAgIETa2T9TANBgkqhkiG9w0BAQUFADBFMUMwQQYDVQQDEzpP
## cGVuVlBOIFdlYiBDQSAyMDExLjA0LjE5IDE1OjUzOjU2IENFU1Qgdm0tb3BlbnZw
## bi1hcy1kb2t1MB4XDTExMDQxMjEzNTM1NloXDTIxMDQxNjEzNTM1NlowHTEbMBkG
## A1UEAxMSdm0tb3BlbnZwbi1hcy1kb2t1MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCB
## iQKBgQC5yw26UWgCPjQvetJM8FnAOGIDCzAPilMSW3f67Lr7MV625UXQ4gwg1fwi
## NWXL92HT+OPtepGsLGOj5qF2fjiWLJt4+vkld/cnXTQNv00+56gITSoeGpbuPyd5
## HXS0Iv6nlhQseo78mGgeGnWijAitGsCAXzIFnSlTxpuqIDNG0wIDAQABoyAwHjAJ
## BgNVHRMEAjAAMBEGCWCGSAGG+EIBAQQEAwIGQDANBgkqhkiG9w0BAQUFAAOBgQAv
## wNBhV3vFdiK/s25hz6PiZP5GIMt5EcxwbeVJxjM3hBtOkr93WtPEGKqx6zrsuVbd
## F0H1ApwqgWHLZ4HYOgX8YOUVYKIAEcGuEx6vwz7yBh1s28uamHV+tD1dtNguidJK
## K1sqjHLRllW251ZZlSYNrD4nGlRfMT+PJGrvmGz+xQ==
## -----END CERTIFICATE-----
## -----BEGIN CERTIFICATE-----
## MIICEzCCAXygAwIBAgIETa2T9DANBgkqhkiG9w0BAQUFADBFMUMwQQYDVQQDEzpP
## cGVuVlBOIFdlYiBDQSAyMDExLjA0LjE5IDE1OjUzOjU2IENFU1Qgdm0tb3BlbnZw
## bi1hcy1kb2t1MB4XDTExMDQxMjEzNTM1NloXDTIxMDQxNjEzNTM1NlowRTFDMEEG
## A1UEAxM6T3BlblZQTiBXZWIgQ0EgMjAxMS4wNC4xOSAxNTo1Mzo1NiBDRVNUIHZt
## LW9wZW52cG4tYXMtZG9rdTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAqzap
## AJPKo6D0jWvb3nOf7nF1EYPKRr7a1ktjma5KKMoW2X7aUcSw1fsFFveQpb0wjZ5g
## ZTi4594ak4hNTB34y2+AD3J9oBhyOL092z8vif94dTDJhdRIaNqKR3iiSalQgHjk
## jFV5oPi7P+v+gypO3BvQo0ZK1RekT2K20Mo5ioUCAwEAAaMQMA4wDAYDVR0TBAUw
## AwEB/zANBgkqhkiG9w0BAQUFAAOBgQAh/D2rEcTFM5nXCgAMS4H/e6a9Qgk/j0rd
## fuMmfgXdNK2iHsjeACpg7SBl2+QbkbiaPpnP7JBfT0zVCvWm0H4mWTWNG7NaZ9Be
## eBWwgL5dshpahjadVv95Lk/Ghp1evIc2uGrvKlU80sgPH2HWSo8NIiYK2dArwId1
## TPxvglLQNA==
## -----END CERTIFICATE-----
# -----BEGIN RSA SIGNATURE-----
# MqtT9j/HN6NX0wJl+1jsxYIMI0Tf/PGSALC0xoOQYNPA4ntSqw
# I7T/d54LKeZH4pyc+BMA1MtJSxPRK8Q4jDuIT3IQxXBd23aHnk
# nNsNIAYZ/JKMyaGH0DOK9Nys4g0U6NY11TsD2P/INB539nGRyG
# RGrEXBrw50qL69GfEIazs=
# -----END RSA SIGNATURE-----

Tehát egy ilyen filet kéne a linux szerveren generáltatnom valahogy.

Segítségeteket előre is köszönöm!

  • 2225 megtekintés

( siposg | 2012. 10. 26., p – 14:51 )

Nagyon rendes tőled, hogy idemásoltad a privát kulcsot. Ennek bizonyára nagyon sokan fognak örülni. Ettől most igazán biztonságos lett a rendszer, így már nem is kell 2048 bites titkosítás.

Három fájlra van szükség kliens oldalon. CA cert, Kliens cert és kliens titkos kulcs. Ezt kell felkonfigurálni. Ha nem megy küldj nekik kliens konfigot bezippelve minden elemével.
Ha valami nem megy, akkor openvpn doksi olvasás.

A kimeneti fájlt egyébként sima összemásolással meg tudod oldani, de félek ez nekik nem lesz megfelelő így sem. PEM formátumba hiába teszel be több certet a kliens nem fogja olvasni. Más formátumra lesz ott szükség, pl PKCS tud ilyet.

A PKCS általában a windows key store vagy micsodához kell, viszont azt meg az openvpn nem használja tudtommal.
Linuxscripting

Szia!

Szándékosan másoltam ezt a kulcsot, mivel ez csak egy példa, használaton kívüli szerverről, csak hogy lássátok a lényeget.

Azért tettem fel a kérdést, mert regeteg doksit olvastam, de megoldást még nem sikerült találnom a problémára, javasoltam nekik az általunk használt megoldást, de azt meg ők nem prferálják. Így az én nyakamon szorul a hurok. :S

De segítségedet köszönöm!

( Vizibirka | 2012. 10. 26., p – 15:56 )

.cer (PEM/DER) nem fog menni, használj PKCS12-őt, a fenti rémhírekkel ellentétben semmi köze a windows keystore-hoz, ez egy keystore formátum.

Legegyszerűbben így tudsz ilyet előállítni: openssl pkcs12 -export -out valami.pkcs12 -in client.cer -inkey client.key -chain -CAFile ca.crt -name "Server name" -caname "Ceg CA egyszeru neve"

Nem futtattam le a parancsot, ezért lehet, hogy lesz benne hiba. A -name és -caname paraméter az opcionális.