OpenVPN / OpenSSL - pkcs12 Key erstellen?

[deleted_24196]

Hi,

ich teste gerade etwas mit OpenVPN und OpenSSL herum und komme nicht weiter... Ich habe OpenVPN (openvpn-2.2.1-install.exe) und OpenSSL (Win32OpenSSL_Light-1_0_0d.exe) installiert und mir einen 'static key' gebastelt.

openvpn --genkey --secret static.key

Jetzt möchte ich aus diesem einen pkcs12 Key machen. Also gebe ich ein (ich befinde mich im Verzeichnis wo die static.key liegt):

openssl pkcs12 -export -in client.crt -inkey static.key -certfile ca.crt -name "etwas beschreibendes" -out neues-file.p12

Darauf folgt dann eine Fehlermeldung

WARNING: can't open config file: c:\openssl/ssl/openssl.cnf
Loading 'screen' into random state - done
Error opening input file client.crt
client.crt: No such file or directory

Was ich weiß:

• Meine OpenSSL-Installation liegt unter C:\OpenSSL-Win32
• Ich habe keine client.crt - was ist das und wo kriege ich das her?
• Ich habe keine ca.crt - Zertifizierungsstelle, okay. Das kenne ich. Aber laut Static Key Mini-HOWTO brauche ich die nicht.

Wer kennt sich aus und hilft mir?

 

[dasFleisch]

Du hast nen Key, brauchst aber für PKCS ein (signiertes) Zertifikat.
http://www.openssl.org/docs/HOWTO/certificates.txt

Die Zertifizierungsstelle bist du dann quasi selber, dafür erkennst auch nur du das Zertifikat an.

 

[deleted_24196]

Ich möchte aber nur mit einem 'static key' arbeiten. Diesen 'static key' gebe ich dann bei tomatoVPN ein

und damit soll mein Router als VPN-Einwahlserver dienen. Die pkcs12-Datei brauche ich hingegen für meinen Androiden. Jedenfalls sagt das das Internet.

Oder kann ich mir eine CA aufbauen, mit dem Zertifikat und dem Key ne pkcs-Datei bauen und die CA dann wieder einstampfen? Wenn ja, wie muss ich das dann auf dem Router einstellen?

 

[deleted_24196]

Kann mir keiner weiterhelfen?

 

[Shihatsu]

dir fehlt ne menge hintergrundwissen, und das thema ist ekelhaft komplex.
alsm einstiegspunkt gib dir mal den hier:
http://tldp.org/HOWTO/SSL-Certificates-HOWTO/
http://www.openssl.org/docs/HOWTO/certificates.txt

kurze zusammenfassung:
erstell dir ne ca, daraufhin nen zert request inkle private key, dann bastelste dir dazu nen public key, das alles verwurstelst du in dem pkcs12 und das installierst du dann.

zwischen keys und certs ist nen gewaltiger unterschied

 

[deleted_24196]

Dass das Thema komplex ist weiß ich. Wenn ich mir jetzt ne CA aufbaue, public und private Key erstelle, dann muss ich den static key auf dem Router wieder verwerfen? Hrm... Dann ist das gefundene Tutorial wieder fürn Arsch.

 

[Shihatsu]

letzlich: ja und nein. ja, eine eigene ca ist sinnvoll. nein, pass bloss auf das es keine public wird.
vielleicht hilft das hier weiter:
http://www.klehr.de/michael/files/_openvpn.html

 

[HERR 2FICKENDEHUNDE]

kleiner tip, falls du linux erfahrung hast: http://tinyca.sm-zone.net/

mit anleitung: http://www.admin-magazin.de/Das-Heft/2009/01/TinyCA-als-Zertifizierungsstelle-fuer-kleine-Ansprueche

damit sollte man auskommen...

 

[deleted_24196]

Die Anleitung von Shi sieht ganz gut aus. Dann muss ich nur noch gucken, wie ich das dann alles auf dem Router einstellen muss... Danke!

 

[deleted_24196]

Soooo... Ein bisschen bin ich voran gekommen. Kleine Erklärung:

Ins OpenVPN\easy-rsa-Verzeichnis wechseln, folgende Befehle eingeben:

init-config.bat
vars.bat
clean-all.bat
build-ca.bat

Dann müssen ein paar Informationen eingegeben werden (Beispiel mit meinen Daten):

Country Name: DE
State Name: Bremen
Locality Name: Bremerhaven
Organization Name: Home
Organizational Unit Name: VPN
Common Name: VPN-CA
Name: morphium
Email: morphium@....de

Damit wurde die CA angelegt. Als nächstes folgen die Dateien für den Server:

build-key-server.bat server

Das 'server' hinter .bat gibt den Namen der Zertifikate, Keys, usw. an!

Country Name: DE
State Name: Bremen
Locality Name: Bremerhaven
Organization Name: Home
Organizational Unit Name: VPN
Common Name: VPN-Server
Name: morphium
Email: morphium@....de
Password: supergeheim
Optional Company Name: Android

Jetzt die beiden Abfragen mit 'y' bestätigen und fertig. Jetzt bauen wir die Dateien für den Client:

build-key-server.bat client

Country Name: DE
State Name: Bremen
Locality Name: Bremerhaven
Organization Name: Home
Organizational Unit Name: VPN
Common Name: VPN-Client
Name: morphium
Email: morphium@....de
Password: supergeheim
Optional Company Name: Android

Wieder beide Abfragen mit 'y' bestätigen. Mittels

build-dh.bat

werden 'Diffie Hellman Parameters' gebaut. Jetzt ins Unterverzeichnis 'keys' wechseln und mit dem Befehl

openssl pkcs12 -export -in client.crt -inkey client.key -certfile ca.crt -name Android -out certs.p12

die pkcs12-Datei bauen.

Das muss jetzt noch alles irgendwie ins tomatoVPN eingebaut werden und dann müsste (!) es funktionieren. Dabei habe ich mir allerdings gerade meinen Router so zerschossen, dass ich alles neu machen musste. Jetzt habe ich kein Bock mehr und guck ne Runde Simpsons.

 

[deleted_24196]

Jul 27 20:18:10 unknown daemon.notice openvpn[2148]: MULTI: multi_create_instance called
Jul 27 20:18:10 unknown daemon.notice openvpn[2148]: 192.168.1.x:37476 Re-using SSL/TLS context
Jul 27 20:18:10 unknown daemon.notice openvpn[2148]: 192.168.1.x:37476 LZO compression initialized
Jul 27 20:18:10 unknown daemon.notice openvpn[2148]: 192.168.1.x:37476 Control Channel MTU parms [ irgendwelche Werte ]
Jul 27 20:18:10 unknown daemon.notice openvpn[2148]: 192.168.1.x:37476 Data Channel MTU parms [ irgendwelche Werte ]
Jul 27 20:18:10 unknown daemon.notice openvpn[2148]: 192.168.1.x:37476 TLS: Initial packet from 192.168.1.x:37476, sid=xyz123 abc456
Jul 27 20:19:10 unknown daemon.err openvpn[2148]: 192.168.1.x:37476 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Jul 27 20:19:10 unknown daemon.err openvpn[2148]: 192.168.1.x:37476 TLS Error: TLS handshake failed
Jul 27 20:19:10 unknown daemon.notice openvpn[2148]: 192.168.1.x:37476 SIGUSR1[soft,tls-error] received, client-instance restarting

Jemand ne Idee?

http://openvpn.net/index.php/open-s...-seconds-check-your-network-connectivity.html
Da finde ich leider auch nichts was mir weiterhilft.