OpenSSL Zertifikate für OpenVPN

[aPollO]

Hallo,

ich bin dabei mich etwas mit OpenVPN auseinanderzusetzen, das ist auch nicht das Problem. Aber ich hatte noch nie viel mit SSL Schlüsseln und Zertifikaten zu tun. Wie funktioniert das genau?

Ich erzeuge eine Zertifikat (puplic) und ein privaten Schlüssel. Mit diesem Schlüsselpaar kann ich dann irgendwie weitere Zertifikate signieren und vergeben....aber wie genau das im Zusammenhang steht hab ich noch nicht ganz verstanden. Wenn jemand eine gute Erklärung dazu kennt oder es slebst Erklären kann, so das man es versteht, welches Schlüssel für was gut ist und was wer braucht (client/host) wäre echt Super.

Ich google mich nämlich dumm und dusselig und finde ein haufen Anwendungszenarien aber keine gute Erklärung.

 

[Masamune2]

http://de.wikipedia.org/wiki/Public-Key-Infrastruktur
http://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem

Schon angeschaut?

Du erstellst dir zunächst eine eigene Stammzertifizierungsstelle die dir wiederum Schlüsselpaare für jeden Rechner/Client erstellt die OpenVPN nutzen wollen.
Der öffentliche Schlüssel wird der Gegenstelle gegeben, der private gehört nur dir und muss geheim bleiben.

 

[marcol1979]

Das Bild bei Wiki gibts ganz gut wieder:

http://de.wikipedia.org/wiki/Transport_Layer_Security

 

[aPollO]

http://de.wikipedia.org/wiki/Public-Key-Infrastruktur
http://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem

Schon angeschaut?

Du erstellst dir zunächst eine eigene Stammzertifizierungsstelle die dir wiederum Schlüsselpaare für jeden Rechner/Client erstellt die OpenVPN nutzen wollen.
Der öffentliche Schlüssel wird der Gegenstelle gegeben, der private gehört nur dir und muss geheim bleiben.

Also die Zertifizierungsstelle wäre auf dem Fall egal auf welchem System diese liegt oder? Nur die Puplic Keys müssen alle auf dem OpenVPN Server sein? Richtig? Und die Puplic Keys auf dem Client?

Aber wieso hat der Client dann in der Config immer 2-3 Schlüssel angegeben?

Das Bild bei Wiki gibts ganz gut wieder:

http://de.wikipedia.org/wiki/Transport_Layer_Security

Werd ich mir auch noch anschauen, hab bis jetzt nur die beiden oberen gelesen.

 

[Masamune2]

Wer die Zertifizierungsstelle spielt ist erst mal egal.

Der VPN Server braucht den Public Key der Root Zertifizierungsstelle um die Zertifikate auf Echtheit prüfen zu können, deinen eigenen geheimen Schlüssel für sich und den öffentlichen dazu der an die Clients geht, sowie die öffentlichen Schlüssel der Clients.

Die Clients haben die öffentlichen Schlüssel der Zertifizierungstelle, des Servers und natürlich den öffentlichen und geheimen Schlüssel von sich selbst.

Um mit dem VPN Server eine Verbindung aufzubauen nutzt der Client jetzt den öffentlichen Key des Server zur Verschlüsselung und den öffentlichen Key der Zertifizierungsstelle um sicher zu gehen das er auch wirklich mit den richtigen Server redet.
Das Prinzip ist solange sicher wie die Zertifizierungsstelle nicht kompromitiert wird und jeder Kommunikationspartner die Zertifikate immer sauber prüft.