OpenVPN Zertifikat mit Kennwort

[cscholz]

Hallo zusammen,

ich hab jetzt schon eingei Zeit mit suchen verbracht aber nichts passendens gefunden, daher dachte ich ich frage mal im Forum nach.

Ich benutzte einen OpenVPN das mit User Zertifikaten arbeitet. Nun möchte ich die Zertifikate der User mit Kennwörtern versehen. Ich weiß das es geht, kriegs aber nicht hin.

Muss ich das Kennwort bei der Zertifikatserstellung mit angeben?

Code: Alles auswählen

openssl req -new -newkey rsa:1024 -out certs/$1"csr.pem" -nodes -keyout private/$1"key.pem" -days 365 && \
openssl x509 -req -in certs/$1"csr.pem" -out certs/$1"cert.pem" -CA my-ca.pem -CAkey private/my-cakey.pem -CAserial /etc/openssl/serial -days 3650

Gruß Christian

[Duff]

Oder meinst du, dass du bei einem tunnelaufbau über OpenVPN neben den Zertifikaten auch ein Passwort eingeben muss, damit die Verbindung aufgebaut wird?

[cscholz]

Ehm ja, genau das meine ich...

[Duff]

Ok.

Dazu muss auf dem OpenVPN-Server in der server.config folgende Zeile eingetragen sein:

Code: Alles auswählen

# zusätzliche Authentisierung (Benutzername + Passwort)
auth-user-pass-verify /etc/openvpn/checklogin.sh via-env

Es wird dann auf dem Server das Skript checklogin.sh mit dem Parameter via-env ausgeführt.

Code: Alles auswählen

#!/bin/bash
# Zur Sicherheit - Authentisierung mit Benutzername + Passwort bei OpenVPN
if [ "$username" == "" -o "$password" == "" ]
then
	exit 1;
fi

# Usernamen und Passwort werden zusammengesetzt
USER_PASS="$username:$password"
# Der Eintrag wird in der Datei users gesucht
cat /etc/openvpn/users | grep $USER_PASS
# wenn grep einen Eintrag gefunden hat ist der Exitcode 0
exit $?

Die einfache Text-Datei users sieht so aus:

Code: Alles auswählen

daniel@homer:/etc/openvpn$ cat users 
Benutzer:Passwort

Auf dem Client muss die client.config um diese Zeile ergänzt werden:

Code: Alles auswählen

# zusätzliche Authentisierung
auth-user-pass

Hoffe, ich habe nichts vergessen.

[cscholz]

Vielen Dank. Werde das die Tage mal ausprobieren.

Gruß Christian