OpenVPN erzeugen von Root/Host-Zertifikate manuell

touro411
Posts: 25
Joined: March 8th, 2014, 10:00 am
Location: Frankfurt

OpenVPN erzeugen von Root/Host-Zertifikate manuell

Post by touro411 » November 5th, 2018, 8:08 am

Guten Morgen,

ich habe versucht die Root/Host-Zertifikate zu erzeugen im WebGui, leider bekommen ich nach 5 Minuten einen 504er Fehler.
RootHost.jpg
GIbt es eine Möglichkeit die 4 Positionen manuell zu erstellen auf einem anderen Linuxsystem? Gibt es hierfür ein Howto?

VG

ummeegge
Community Developer
Community Developer
Posts: 4923
Joined: October 9th, 2010, 10:00 am

Re: OpenVPN erzeugen von Root/Host-Zertifikate manuell

Post by ummeegge » November 5th, 2018, 9:06 am

Guten Morgen,
der OpenSSL Prozess sollte dennoch im Hintergrund weiterlaufen auch wenn das WUI ein timeout hat. Das kannst du unter /var/log/httpd/error_log auch gegenchecken. Solange du den Fire nicht neustartest sollte der Prozess irgendwann fertig sein und über die Zertifizierungsstelle nach einem Browser reload angezeigt werden.

UE
Image
Image

touro411
Posts: 25
Joined: March 8th, 2014, 10:00 am
Location: Frankfurt

Re: OpenVPN erzeugen von Root/Host-Zertifikate manuell

Post by touro411 » November 5th, 2018, 10:22 am

Danke, hat geklappt.

Aber bei TLS-Authentifizierungsschlüssel steht "Nicht vorhanden"

Wie kann ich diesen generieren?

ummeegge
Community Developer
Community Developer
Posts: 4923
Joined: October 9th, 2010, 10:00 am

Re: OpenVPN erzeugen von Root/Host-Zertifikate manuell

Post by ummeegge » November 5th, 2018, 11:16 am

jo gerne,
stoppe mal den Server, gehe in die "Erweiterten Einstellungen", mach da mal den Haken bei "HMAC tls-auth" rein oder wenn es schon drinne war wieder raus "Erweiterte Optionen speichern" und wieder rein und ebenfalls "Erweiterte Optionen speichern". Dann sollte er nochmal generiert werden.

UE
Image
Image

BetaTester
Posts: 156
Joined: November 14th, 2018, 3:04 pm

Re: OpenVPN erzeugen von Root/Host-Zertifikate manuell

Post by BetaTester » September 2nd, 2019, 4:51 pm

Also unter Core134 gibt es bei mir diesen Button "HMAC tls-auth" nicht.

Wie generiert man nun solch ein TLS Schlüssel?

ummeegge
Community Developer
Community Developer
Posts: 4923
Joined: October 9th, 2010, 10:00 am

Re: OpenVPN erzeugen von Root/Host-Zertifikate manuell

Post by ummeegge » September 2nd, 2019, 5:08 pm

Heisst nun "TLS Channel Protection --> https://wiki.ipfire.org/configuration/s ... g/glob_set oder "TLS-Kanalabsicherung".

UE
Image
Image

BetaTester
Posts: 156
Joined: November 14th, 2018, 3:04 pm

Re: OpenVPN erzeugen von Root/Host-Zertifikate manuell

Post by BetaTester » September 2nd, 2019, 6:11 pm

Danke, diesen wiki Eintrag hatte ich dann auch gefunden. Soweit ich den Artikel verstehe sollte wenn ein TLS-Zertifikat fehlt dies Automatisch erstellt werden. Ich habe den Button nun vor 1,5h Aktiviert, es scheint nichts zu passieren. Kein Zertifikat erscheint, ich sehe auch keine erhöhte Systemlast die auf eine laufende Erzeugung schließen lassen könnte.

fredym
Posts: 523
Joined: November 14th, 2016, 2:45 pm

Re: OpenVPN erzeugen von Root/Host-Zertifikate manuell

Post by fredym » September 2nd, 2019, 7:25 pm

Hallo,
der Zertifikatserzeugungsvorgang ist
z.B. auch unter dem Thema Raspi und openVPN zu finden!
Aud raspis mußt du alles per CLI machen und ist auch Step-by-Step beschrieben.
andererseits .. wenn du etwas längere DH-Keys erzeugst dauert das schon mal (auf mancher Hardware) Stunden !

Fred

BetaTester
Posts: 156
Joined: November 14th, 2018, 3:04 pm

Re: OpenVPN erzeugen von Root/Host-Zertifikate manuell

Post by BetaTester » September 3rd, 2019, 5:04 am

Auch 10h später wurde kein TlS Zertifikat erzeugt, ein 4096 Bit DH benötigt auf meiner Kiste 3,5 h....

Unter den Begriffen habe ich leider nicht finden können, hast du eventuell ein link für mich?

ummeegge
Community Developer
Community Developer
Posts: 4923
Joined: October 9th, 2010, 10:00 am

Re: OpenVPN erzeugen von Root/Host-Zertifikate manuell

Post by ummeegge » September 3rd, 2019, 6:22 am

Hallo Massaguana,
BetaTester wrote:
September 3rd, 2019, 5:04 am
Auch 10h später wurde kein TlS Zertifikat erzeugt, ein 4096 Bit DH benötigt auf meiner Kiste 3,5 h....
gleiche Frage hier nochmal was ist bei dir ein "TlS Zertifikat" ?? Wenn der DH Key bei dir schon erzeugt ist sind die Zertifikate schon fertig (siehst du übrigens auch im OpenVPN WUI) die CGI arbeitet danach nur noch den statischen Schlüssel (2048 Bit ta.key) ab und wie du den nachträglich erzeugen kannst steht hier in Abfolge --> viewtopic.php?p=127142#p120080 .
BetaTester wrote:
September 2nd, 2019, 6:11 pm
Ich habe den Button nun vor 1,5h Aktiviert, es scheint nichts zu passieren. Kein Zertifikat erscheint, ich sehe auch keine erhöhte Systemlast die auf eine laufende Erzeugung schließen lassen könnte.
Bitte nochmal genau lesen oder genauer schreiben was du gemacht hast. Du musst den Server stoppen, Button klicken, Server starten der Key ist innerhalb von ein paar Sekunden da...

UE
Image
Image

fredym
Posts: 523
Joined: November 14th, 2016, 2:45 pm

Re: OpenVPN erzeugen von Root/Host-Zertifikate manuell

Post by fredym » September 3rd, 2019, 9:12 am

BetaTester wrote:
September 3rd, 2019, 5:04 am
Auch 10h später wurde kein TlS Zertifikat erzeugt, ein 4096 Bit DH benötigt auf meiner Kiste 3,5 h....

Unter den Begriffen habe ich leider nicht finden können, hast du eventuell ein link für mich?
meine Suchmaschine spuck auf die Frage: openVPN mit raspi etliche Ergenisse aus...hmmm
Generell openvpn einrichten bringt auch ausreichend Ergebnisse - man muß nur die GUI Ergebnisse rauslassen, im CLI kannst du "live" mitverfolgen was er tut, oder du nimmst ne GUI und wartest, bis er fertig ist :-)

Lesen mußt du die Artikel dann schon selbst.
IPFire tut im Prinzip das Gleiche, "versteckt aber die Aktivitäten hinter der GUI".

Fred

OdonGarma
Posts: 36
Joined: May 21st, 2015, 7:07 am

Re: OpenVPN erzeugen von Root/Host-Zertifikate manuell

Post by OdonGarma » September 3rd, 2019, 9:38 am

Mal zurück zur ursächlichen Frage.

Wie kann man die entsprechenden Zertifikate manuell erstellen?

Meine Kiste ist dafür auch zu lahm für 4096 Bit (liegt wohl an der Entropie des Zufallgenerators).

Wenn man die befehle exakt kennen würde, könnte man das auf einem externen System durchführen und die Dateien entsprechend importieren.

Also, Frage an die Entwickler, wie sind die Befehle?

Greetz
Hardware: APU.3C4 (4.9.0.2), AMD GX-412TC SOC x4, 4GB-RAM, 32GB mSata SSD, 3x Intel I211 NIC
Modem: ZyXEL VMG1312-B VPN: IPSec (n2n), OpenVPN (Roadwarrior)

BetaTester
Posts: 156
Joined: November 14th, 2018, 3:04 pm

Re: OpenVPN erzeugen von Root/Host-Zertifikate manuell

Post by BetaTester » September 3rd, 2019, 11:48 am

@ummeegge: folgendes tue ich um ein TLS-Authentifizierungsschlüssel zu erhalten.

Ausgangsstellung:
Image

Nun Stoppe ich den Server, und Aktiviere die Checkbox "TLS-Kanalabsicherung" und Klicke auf Speichern. Dann Starte ich den Server, die Anzeige Aktualisiert sich, der Server bleibt aber Deaktiviert. Keine Fehlermeldung etc.

Die Anzeige des TLS-Authentifizierungsschlüssel sagt noch immer es sei keiner Vorhanden.
Image

Scheint also nicht so zu funktionieren... Was tun?

ummeegge
Community Developer
Community Developer
Posts: 4923
Joined: October 9th, 2010, 10:00 am

Re: OpenVPN erzeugen von Root/Host-Zertifikate manuell

Post by ummeegge » September 3rd, 2019, 12:18 pm

Probiers mal damit -->

Code: Select all

openvpn --genkey --secret /var/ipfire/ovpn/certs/ta.key
chmod 600 /var/ipfire/ovpn/certs/ta.key
chown nobody:nobody /var/ipfire/ovpn/certs/ta.key
Kann gerade keine Patches einreichen, kein Zugriff mehr derzeit...

UE
Image
Image

BetaTester
Posts: 156
Joined: November 14th, 2018, 3:04 pm

Re: OpenVPN erzeugen von Root/Host-Zertifikate manuell

Post by BetaTester » September 3rd, 2019, 12:26 pm

Das hat funktioniert. Vielen Dank

Grüße

BetaTester

Post Reply