Große Menge VPN-Keys automatisiert erstellen

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
mrserious
Beiträge: 270
Registriert: 22.06.2013 12:12:03

Große Menge VPN-Keys automatisiert erstellen

Beitrag von mrserious » 06.10.2015 15:54:39

Hallo zusammen,

ich nutze openVPN, bisher habe ich immer alle Keys händisch mit easyRSA erstellt. Es waren nie mehr als ein paar Dutzend, das war also kein Problem.
Nun möchte ich aber einige hundert Clients anlegen. Die Nutzernamen habe ich als Textdatei da, ich könnte also eine For-Schleife nach folgendem Muster bauen:

Code: Alles auswählen

for i in nutzer1 nutzer2 nutzerN
do
  ./build-key-pkcs12 $i
done
Allerdings muss ich dann beim Anlegen jedes Zertifikats dennoch zehn Mal Enter drücken...
Kann man das beschleunigen? Was empfehlt ihr mir? Ist easyRSA dieser Aufgabe überhaupt noch gewachsen?

Grüße

DeletedUserReAsG

Re: Große Menge VPN-Keys automatisiert erstellen

Beitrag von DeletedUserReAsG » 06.10.2015 16:09:49

Ich kenne dieses easyRSA nicht, aber zwei Sachen fallen mir ein: einerseits gibt es Debianexpect, das Tastendrücke simulieren kann, andererseits gibt es sicher auch besser automatisierbare Lösungen, wenn da tatsächlich nur RSA-Sachen rausfallen sollen.

mrserious
Beiträge: 270
Registriert: 22.06.2013 12:12:03

Re: Große Menge VPN-Keys automatisiert erstellen

Beitrag von mrserious » 06.10.2015 21:43:35

Offen gestanden weiß ich garnicht, wie man einen .p12-Schlüssel auf "herkömmliche" Weise erstellt.
Kann man das auch mit einem einzelnen Befehl machen, sodass keine weiteren Eingaben erforderlich sind?
Denn im Grunde macht easy-RSA nur Abfragen, die ich aber auch nicht verändere, sondern nur "durchnicke".

DeletedUserReAsG

Re: Große Menge VPN-Keys automatisiert erstellen

Beitrag von DeletedUserReAsG » 06.10.2015 21:53:34

Wenn’s dich interessiert, könntest du mal file drauf loslassen. Die Endung sagt traditionsgemäß nix aus, und ich kenne das Programm nicht. Wie gesagt, expect würde den Job tun, sofern sich in der Doku nix zu automatisierter Erstellung oder Scriptbarkeit finden lässt.

mrserious
Beiträge: 270
Registriert: 22.06.2013 12:12:03

Re: Große Menge VPN-Keys automatisiert erstellen

Beitrag von mrserious » 06.10.2015 22:07:06

Gegenüber dem herkömmlichen Erstellen mit OpenSSL ist easyRSA im Grunde schon gescripted und kürzt den Weg des Erstellens von Zertifikaten ab.
Denke nur, es wird nicht so viele Leute geben, die derart viele Zertifikate mit ner Opensource-Lösung wie easyRSA erstellen.

eggy
Beiträge: 3334
Registriert: 10.05.2008 11:23:50

Re: Große Menge VPN-Keys automatisiert erstellen

Beitrag von eggy » 06.10.2015 22:17:22

Die Sachen aus easy-rsa sind bereits sh-Scripte, die entsprechend automatisiert werden können. Schau mal welche Umgebungsvariablen gesetzt sein müssen, was aus den Configs genommen wird oder welche Schalter in den einzelen Scripten gesetzt sind. build-key-... ruft pki-tool mit --interactive auf, wahrscheinlich willst Du pki-tool mit --batch, einfach mal in den Code von pki-tool reinsehen, aus den Kommentaren solltest Du schlau werden

mrserious
Beiträge: 270
Registriert: 22.06.2013 12:12:03

Re: Große Menge VPN-Keys automatisiert erstellen

Beitrag von mrserious » 06.10.2015 22:21:56

Oh Mensch...
Manchmal ist die Idee so einfach...
Ich schaue mal rein, danke für den Tipp!

Benutzeravatar
MSfree
Beiträge: 11833
Registriert: 25.09.2007 19:59:30

Re: Große Menge VPN-Keys automatisiert erstellen

Beitrag von MSfree » 06.10.2015 22:28:09

mrserious hat geschrieben:Gegenüber dem herkömmlichen Erstellen mit OpenSSL ist easyRSA im Grunde schon gescripted und kürzt den Weg des Erstellens von Zertifikaten ab.
Denke nur, es wird nicht so viele Leute geben, die derart viele Zertifikate mit ner Opensource-Lösung wie easyRSA erstellen.
Schau dir mal die EasyRSA-Skripte im Editor an und suche die Stellen, wo opensll aufgerufen wird. Ich meine, mich erinnern zu können, daß, wenn man opensll den Zusatzparameter -batch mitgibt, die nervende Fragerei ein Ende hat.

mrserious
Beiträge: 270
Registriert: 22.06.2013 12:12:03

Re: Große Menge VPN-Keys automatisiert erstellen

Beitrag von mrserious » 07.10.2015 07:56:07

Guten Morgen,

Tatsache!
Die Fragerei habe ich dadurch weg bekommen.
Leider werde ich immernoch nach nem Passwort für jeden Key gefragt (was jetzt kein Drama wäre), ich werd' mal versuchen, das auch noch raus zu bekommen.

Grüße

Benutzeravatar
catdog2
Beiträge: 5352
Registriert: 24.06.2006 16:50:03
Lizenz eigener Beiträge: MIT Lizenz

Re: Große Menge VPN-Keys automatisiert erstellen

Beitrag von catdog2 » 07.10.2015 09:28:23

Ich kenne dieses easyRSA nicht
EasyRSA ist im wesentlichen halt ein paar Shellskripte um das umständliche openssl Kommando um eine SSL CA zu bauen. Das Projekt gehört mehr oder weniger zu openvpn und ist ein Stück weit auf dessen Bedürfnisse zugeschnitten.
Leider werde ich immernoch nach nem Passwort für jeden Key gefragt (was jetzt kein Drama wäre), ich werd' mal versuchen, das auch noch raus zu bekommen.
Kriegt man sicher auch noch irgendwie weg konfiguriert ja, zu Not halt den openssl Aufruf im Skript anpassen.
Unix is user-friendly; it's just picky about who its friends are.

mrserious
Beiträge: 270
Registriert: 22.06.2013 12:12:03

Re: Große Menge VPN-Keys automatisiert erstellen

Beitrag von mrserious » 07.10.2015 09:48:46

Ja, bin grad schon am suchen... versteckt sich aber gut die Option...
Habe eigentlich alle "--pass" rausgefischt... Funktioniert aber noch net...

Antworten