OpenVPN Umgebungsvariablen

I

Infected

Member
Guten Abend zusammen,
ich habe eine kurze Frage bezüglich OpenVPN.

Zur Einrichtung soll man zuerst die "/etc/openvpn/easy-rsa2/vars" - Datei anpassen.
Diese wird danach zu den Umgebungsvariablen hinzugefügt.
Soweit so gut.

Doch nun stelle ich mir eine Frage.
In der Datei kann man die Gültigkeit der Zertifikate angeben.
Code: 
# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

Der CA Key kann gerne 10 Jahre gültig sein.
Aber ich möchte die Zertifikate für Clients unterschiedlich lange laufen lassen.
Wenn ich nun den Wert KEY_EXPIRE ändere, ist dann jedes Zertifikat so lange gültig ?

Wenn ja, was muss ich machen, damit ich Zertifikate unterschiedlich lange laufen lassen kann?
Jedes mal den Parameter in den Umgebungsvariablen ändern ?


Ich hoffe, ihr könnt mir helfen.
 
Du rufst ja das Shell-Script vars über den Befehl
Code: 
. vars
auf, um die in vars definierten Umgebungsvariablen zu setzen. Das hindert dich aber nicht daran, eine der Variablen danach von Hand neu zu setzen, bevor du das Zertifikat erstellst.
Allerdings werden bei mir die Parameter für Schlüssel und Zertifikat nicht in der vars festgelegt, sondern in der openssl.cnf im easy-rsa Verzeichnis - die solltest du auch überprüfen.
Außerdem ist bei mir die Anzahl der Tage in den einzelnen Scripten fest eingetragen. Das kannst du natürlich auch nutzen, indem du dir Scripte erstellst, in denen die Anzahl der Tage nach deinen Wünschen drin stehen und verwendest je nach Wunsch die jeweilie Variante.
Allerdings ist meine easy-rsa Version auch schon älteren Datums, deine dürfte eine aktuellere sein, da wurde das mit den fest verdrahteten Werten vermutlich geändert.
 
Aso ok.
Ich habe noch ein wenig probiert und habs auch hin bekommen.

Nur eine Frage dazu hätte ich jetzt noch.
Ich habe die Gültigkeit des ca.crt Zertifikat auf die vorgegebenen 10 Jahre gesetzt.
Dann habe ich ein Zertifikat für mich (Client) erstellt, mit einer Gültigkeit von 3 tagen (client.crt).

Nun muss ich ja mir die folgenden 4 Dateien ziehe, um mich verbinden zu können:
- ca.crt
- client.conf
- client.crt
- client.key

Das ca.crt Zertifikat hat jetzt eine Gültigkeit von 10 Jahren, und das client.crt Zertifikat eine von 3 tagen.
Eigentlich sollte das client.crt Zertifikat ja nach 3 Tagen dann ungültig sein.
Aber könnte man nicht über das ca.crt Zertifikat die Gültigkeit verlängern, oder geschieht das über den ca.key Key (den ich sicher auf dem Server gespeichert habe) ?
 
Das Client-Zertifikat wird mit Hilfe des privaten Schlüssels (also der ca.key) signiert und die Gültigkeit ist genaugenommen die der Signatur. Die ca.crt wird auf dem Client auch nur benötigt, um die Identität des Servers zu bestätigen.
 
You must log in or register to reply here.
Back
Top