Toggle sidebar

OpenVPN connectet trotz Zertifikatswechsel

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
P

Pablo Diablo

Benutzer
Registriert
04. Jan. 2013
Beiträge
5
Reaktionspunkte
0
Punkte
0
Ich habe nach dem Heartbleed-Bug meine Syno aktualisiert und das Zertifikat (über Systemsteuerung / Sicherheit) neu erstellt. Das wurde auch übernommen, mindestens musste ich sogleich im Firefox eine neue Ausnahme für das Zertifikat hinzufügen. Danach die ios.ovpn exportiert und über iTunes an iPhone und iPad verteilt.

Das funktioniert auch alles. Nun habe ich aber festgestellt, dass ich auch mit der alten Konfig, die noch im OpenVPN sichtbar ist, von extern auf meien Syno zugreifen kann.

Das dürfte doch nicht sein!?! Weiss jemand was ich falsch gemacht habe?
 
hmm, nur wie unterscheidet sich die alte Konfig? Die Konfig ist doch nur ein Text, alles was mit einem Schlüssel zu tun hat ist der Name des CA Files drin, das ca ca.crt

Irgendwelche Cert Nummern etc finde ich drin nicht.

Ich meine wenn das immer noch so heisst dann warum soll sich es nicht verbinden?
 
In die Datei ios.ovpn, die ich nach dem Neuerstellen des Zertifikats von der Syno geholt hab, werden Zertifikat und Key automatisch miteingetragen. Erstelldatum der Datei war zum gleichen Zeitpunkt wie das Neugenerieren des Zertifikats.

Das würde dann wohl heissen, dass trotz neuem Zertifikat und Key noch das alte Zertifikat und Key in das neue ios.ovpn geschrieben wurden. Anders kann ich mir das nicht erklären. Das wäre dann aber eine ziemlich gefährliche Geschichte... Ich hab vor dem Wechsel des Zertifikats extra noch das VPN-Server Paket deinstalliert um solches zu vermeiden...

Oder hat jemand eine andere Idee?
 
dann müsste die neue ios Datei ja gleich ein wie die alte. Hast du die beiden Versionen mal veglichen?
Zudem nur weil du ein Client Certifikat neu machst, heisst das nicht die alten Zertifikate wären ungültig. Die müsstest du explizit widerrufen. Wenn das nicht geht müsstest du ein neues CA.crt generieren lassen. Dann basierend auf diesem CA einen neuen Client Key/Cert erstellen. OVPN traut allen Certs welche mit dem gültigen CA unterschrieben wurden
 
Hab die OVPN nicht verglichen. Hmm, daran wirds wohl liegen. Ich merke grade dass ich mir in Sachen CA, Certs und Keys noch ein bisschen Grundwissen aneignen muss... :-/

Vielen Dank jahlives!

Gruss
Pablo
 
Bin auch an diesem Thema brennend interessiert! :)

Ich meine auf einem blog gelesen zu haben, dass das Neuerstellen der Zertifikate via Einstellungen -> Sicherheit eben NICHT dazu führt, dass das neue Zertifikat auch für den OpenVPN Server verwendet wird! (Das mag aber auch eine Falschingormation sein bzw. bloss für die DSM 4.2 gelten, über welche der blog berichtete).

Jedenfalls wäre es hilfreich, wenn hier jemand einmal seine Erfahrungen über einen erfolgreichen Zertifikateechsel preisgeben könnte. Insbesondere für eine "plain vanilla" OpenVPN Installation (die bei mir zu einer user/password Authentifikation führt). Und natürlich so, dass Clients mit alten Zertifikaten nicht mehr akzeptiert werden, selbst wenn sie die korrekte user/password Kombination kennen - oder he Moment, trifft in diesem Szenario der Zertifikatwechsel gar nicht zu, da ja eh ein Passwort zum Zuge kommt? *verwirrt*

Danke
 
stelle mir diese frage ebenfalls. habe das zertifikat neu generiert, trotzdem kommen die vpn-clients noch mit dem alten zertifikat auf den server. scheinbar hat das neue zertifikat keine auswirkung auf den vpn-server.

gruss andi
 
ich zitiere mich mal selbst
jahlives schrieb:
Zudem nur weil du ein Client Certifikat neu machst, heisst das nicht die alten Zertifikate wären ungültig. Die müsstest du explizit widerrufen. Wenn das nicht geht müsstest du ein neues CA.crt generieren lassen. Dann basierend auf diesem CA einen neuen Client Key/Cert erstellen. OVPN traut allen Certs welche mit dem gültigen CA unterschrieben wurden
Zum Vergrößern anklicken....
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten