OpenVPN, PKI mit XCA

[Levio]

Hallo, das ist zwar nicht 100% Freetz spezifisch, aber da man die Zertifikate als Textdateien hochladen muss, vlt doch. Ich habe einen PKI mit XCA erzeugt, kann aber beim exportieren des Zertifikats für die Fritzbox (box cert) nicht das korrekte Format auswählen. Kann man das irgendwie konvertieren? Hat das schon jemand anderes mal mit XCA gemacht? Gibt es vlt ein besseres GUI-Programm für die PKI Verwaltung?

 

[µRaCoLi]

Was für ein Format hast du denn? Pkcs? Hier gibts die Befehle zum Konvertieren (von https://www.sslshopper.com/ssl-converter.html):

OpenSSL Convert PEM

Convert PEM to DER

openssl x509 -outform der -in certificate.pem -out certificate.der

Convert PEM to P7B

openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer

Convert PEM to PFX

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

OpenSSL Convert DER

Convert DER to PEM

openssl x509 -inform der -in certificate.cer -out certificate.pem

OpenSSL Convert P7B

Convert P7B to PEM

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer

Convert P7B to PFX

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer

OpenSSL Convert PFX

Convert PFX to PEM

openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes

 

[Levio]

Vielen Dank für die ausführliche Antwort. Klappt aber auch nicht so gut. Also das Format sieht nicht so aus wie das, was ich mit der Terminalvariante aus dem Tutorial bekomme. Ich denke ich mach die PKI doch direkt mit den Konsolenbefehlen, auch wenn das umständlicher ist.

 

[Levio]

Passiert, das mit den Überschriften. Aber eigentlich schonmal gut, dass es hier Leute gibt, die auch XCA benutzen. Ich finde es nämlich eigentlich auch viel einfacher und übersichtlicher das ganze mit ner GUI zu machen, auch falls man mal was ändert, usw.

Das BoxCert muss ungefähr so aussehen:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
        Signature Algorithm: md5WithRSAEncryption
        Issuer: C=DE, ST=XXX, L=XXXX, O=XXXXXX, CN=XXXXXXXX/[email protected]
        Validity
            Not Before: May  7 20:47:17 2010 GMT
            Not After : May  4 20:47:17 2020 GMT
        Subject: C=XXX, ST=XXXX, O=XXXXXX, CN=XXXXXXXX/[email protected]
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (1024 bit)
                Modulus (1024 bit):
                    00:c5:b0:45:6d:48:8b:33:af:2a:69:bd:b7:d3:7e:
                    64:5f:5f:64:1d:08:de:77:f0:48:23:18:f7:f6:ae:
                    3e:4a:b6:02:d2:ea:dd:2e:01:9f:01:43:50:91:ce:
                    88:bd:bf:d0:32:0f:91:6c:fd:5f:64:4f:f2:93:b4:
                    c6:5f:c1:c8:5b:2c:b5:66:2a:3f:44:8a:84:d8:ad:
                    0c:06:8a:74:68:f7:7c:28:e8:36:1b:0d:ef:55:41:
                    88:f4:48:08:95:d7:39:53:32:14:af:57:95:a2:13:
                    f2:d6:3a:12:36:6d:8f:3e:17:e5:e3:ab:39:2e:3f:
                    00:54:da:d1:da:7b:c9:3f:e3
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Cert Type: 
                SSL Server
            Netscape Comment: 
                OpenSSL Generated Server Certificate
            X509v3 Subject Key Identifier: 
                84:A5:7B:A1:5F:80:67:7A:E7:60:66:E6:17:B1:35:17:84:6D:5D:05
            X509v3 Authority Key Identifier: 
                keyid:6D:CE:3D:E2:75:7D:31:1D:8D:31:BF:D7:34:DE:71:3C:9A:54:6B:16
                DirName:/C=DE/ST=XXXX/L=XXXXX/O=XXXXXXX/CN=XXXXXXXXXX/[email protected]
                serial:E8:ED:15:2E:83:9D:86:1F

    Signature Algorithm: md5WithRSAEncryption
        ba:3c:75:c7:33:35:ef:32:a9:29:2a:6f:36:0b:46:cb:22:96:
        94:b8:a3:30:71:26:21:19:80:75:63:7f:f5:50:05:96:b7:eb:
        59:34:6d:b2:e3:6d:d7:38:5f:c7:6d:1e:84:84:7b:6a:87:46:
        3f:1f:5b:c2:80:a4:39:17:a3:fa:be:4a:96:0e:55:17:ad:f5:
        26:15:b7:8d:a1:00:31:e3:af:7b:cb:37:e4:be:e6:fb:46:f4:
        7e:f5:8c:c6:81:f8:be:d4:79:48:64:18:92:54:cf:e3:44:72:
        67:17:ab:59:87:f2:87:ed:a5:d0:77:40:5a:ce:0f:a7:10:19:
        ee:f8
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----

Ist das alte, was ich früher benutzt habe. Egal wie ich exportiere, ich kriege dieses Format nicht hin. Ich denke mal es müsste "export als PEM mit Certificate-chain" sein, allerdings sind die ganzen Infos am Anfang nicht dabei sondern es kommt direkt: "BEGIN CERTIFICATE".

Kann ich vielleicht das Zertifikat als .p12 auf die Box laden und dann händisch in OpenVPN importieren?

 

[µRaCoLi]

Der Output beinhaltet alle 3 Dateien, die du brauchst: ca.crt, client.crt, client.key

 

[Levio]

Habe es jetzt per Konsole gemacht Danke nochmal Peter, aber das war mir jetzt zu belastend mit dem zusammenkopieren. Funzt aber leider noch nicht richtig, das VPN. Vielleicht kann mir jemand helfen. Die Verbindung klappt, aber irgendwas stimmt mit den IPs oder Routen nicht.

Edit: Angehängte Grafik ist zu ignorieren, sage ich später was zu, habe aber gerade keine Zeit

 

[sf3978]

...
Deshalb gehe ich einfach mal unvoreingenommen davon aus, dass du bei freetz-openVPN auch irgendwie ein "fensterchen" hast, in welches du via Zwischenablage den Inhalt einer .pem-Datei reinkopieren kannst. Zumindest läuft es beim Zertifikat für ftps so.
...

Ja, so kann man es auch im Freetz-Wiki für OpenVPN, im Abschnitt "Zertifikate" nachlesen: >>> klick <<<.

 

[Levio]

Korrekt, da steht wie man das richtig formatierte Zertifikate einfügt. Aber XCA gibt das Zertifikat nicht im korrekten Format aus. Man muss sich das wie oben gesagt aus den einzelnen Dateien zusammenbasteln.

 

[tolikonline]

Korrekt, da steht wie man das richtig formatierte Zertifikate einfügt. Aber XCA gibt das Zertifikat nicht im korrekten Format aus. Man muss sich das wie oben gesagt aus den einzelnen Dateien zusammenbasteln.

Hallo,

habe auch sehr lange nach einer etwas komfortablen Lösung für die Zertfikatverwaltung gesucht. Und ich meine bin jetzt fündig geworde. XCA ist die Lösung ;-)

@Levio: Ich habe es zuesrt auch mit PKCS versucht. Jetzt habe ich einzelne Zertfikate und Schlüssel gemacht. Das alles konnt eich mit dem aktuellen XCA ohne Probleme machen. CA und einzelne weitere Zertfikate (für Clients und Server) habe ich im "PEM with Certificate chain" Format exportiert und in der Konfig eingebunden. Hat auf Anhieb funktioniert...

Gruß

T0lik