Erzeugen einer OpenVPN-Konfigurationsdatei für SX-GATE Benutzer

    Welche Voraussetzungen müssen für die Bereitstellung eines Remote-User-OpenVPN gegeben sein?

    Eine wesentliche Voraussetzung ist eine eingerichtete OpenVPN-Server-Schnittstelle. Falls das noch nicht umgesetzt wurde, so verwenden Sie den folgenden Link: Einrichten einer neuen OpenVPN-Schnittstelle
    Kehren Sie danach hierher zurück und beenden Sie die Konfiguration. Falls Sie bereits eine OpenVPN-Server-Schnittstelle eingerichtet haben, so können Sie mit dieser Anleitung fortfahren.

    Die SX-GATE-Root-CA und das SX-GATE VPN-Server-Zertifikat müssen ebenfalls existieren. Falls nicht, so verwenden Sie den folgenden Link: Einrichten einer SX-GATE Root-CA und eines VPN-Server-Zertifikats für OpenVPN und IPSec
    Kehren Sie danach hierher zurück und beenden Sie die Konfiguration. Falls Sie bereits ein SX-GATE-Root-CA-Zertifikat und ein SX-GATE VPN-Server-Zertifikat eingerichtet haben, so können Sie mit dieser Anleitung fortfahren.

    Bei der Nutzung von Multifaktor-Authentifizierung (MFA) ist ein Benutzerkonto innerhalb der SX-GATE Benutzerverwaltung erforderlich. Falls Sie noch kein Benutzerkonto angelegt haben oder falls für ein bereits bestehendes Benutzerkonto noch keine Multifaktor-Authentifizierung aktiviert wurde, so verwenden Sie den folgenden Link: Aktivieren von Multifaktor-Authentifizierung (MFA) für ein SX-GATE Benutzerkonto
    Kehren Sie danach hierher zurück und beenden Sie die Konfiguration. Falls Sie bereits einen SX-GATE Benutzer mit Multifaktor-Authentifizierung eingerichtet haben, so können Sie mit dieser Anleitung fortfahren.

    Wann benötigt ein vorhandener Benutzer ein neues Konfigurationsprofil?

    Nach der Erstkonfiguration einer OpenVPN-Installation für einen Benutzer funktioniert diese Verbindung solange problemlos, bis das zur Authentifizierung verwendete Zertifikat sein technisches Laufzeitende erreicht hat. Danach kann sich der OpenVPN-Client nicht mehr mit dem SX-GATE verbinden. Im Folgenden haben wir die drei Szenarien beschrieben, die es erforderlich machen, neue Konfigurationsinformationen für einen Benutzer zu generieren.

    1. Ein bestehender OpenVPN-Benutzer benötigt ein neues Zertifikat zur Authentifizierung, da sein bisheriges Zertifikat in Kürze abläuft oder bereits ungültig ist.
    2. Ein bestehender OpenVPN-Benutzer benötigt ein neues Installationspaket, da sich Bestandteile seiner OpenVPN-Konfiguration verändert haben und eine Anpassung der Client-Installation erforderlich ist.
    3. Es wird ein neuer OpenVPN-Benutzer benötigt, der über ein OpenVPN-Installationspaket eine funktionierende Konfiguration auf seinem Rechner ablegt.
    Hinweis:
    In einem OpenVPN-Installationspaket sind alle Konfigurationsbestandteile eines Benutzers zusammengefasst. Dieses Installationspaket wird durch das SX-GATE beim Erzeugen eines Benutzerzertifikats als ausführbare Datei (.exe-Datei) generiert. Die Installation der Benutzerkonfiguration erfolgt durch das Ausführen dieser .exe-Datei, nachdem die OpenVPN-Client-Software auf dem Benutzerrechner Installiert wurde. Alle Konfigurationsbestandteile werden dann automatisch in den entsprechenden Verzeichnissen der bestehenden OpenVPN-Installation abgelegt.

    Erzeugen eines Konfigurationsprofils für neue Benutzer

    Hinweis:
    Da sich die technische Umsetzung der drei zuvor beschriebenen Szenarien stark ähnelt können wir die Vorgänge zusammenfassen und in einem einzigen Ablauf umsetzen.

    1. Gehen Sie dazu in das Menü "System > Zertifikatsverwaltung > CA Zertifikate" und danach in der Tabelle "CA Zertifikate" in der Zeile "SX-GATE-CA" auf den Eintrag "Zertifikate".

    2. Wählen Sie in der Tabelle "Zertifikate" das zum bestehenden OpenVPN-Benutzer zugehörige Zertifikat aus.

      Hinweis:
      Bei einem noch nicht abgelaufenen Zertifikat sollten Sie dieses nicht erneut ausstellen, sondern das technisch noch gültige Zertifikat revozieren (zurückziehen oder für ungültig erklären). Erzeugen Sie danach ein neues Zertifikat für den Benutzer. Das revozierte Zertifikat können Sie nach Erreichen des technischem Ablaufdatums aus der Zertifikatsverwaltung löschen. Ein vorheriges Löschen eines Zertifikats ohne dieses zuvor zu revozieren ist nicht sinnvoll und erzeugt ein Sicherheitsrisiko.

    3. Wählen Sie die Option "Zertifikat neu erstellen" aus.

    4. Geben Sie jetzt die Zertifikatsattribute das neue Benutzer-Zertifikat ein.

    5. Vergeben Sie für das Attribut "Email" die E-Mail-Adresse die dem OpenVPN-Benutzer zugeordnet ist. Sie erhalten dadurch einen besseren Überblick und können ein Zertifikat einem bestimmten Benutzer besser zuordnen.

    6. Tragen Sie in der Tabelle "Alternative Bezeichner" ebenfalls die E-Mail-Adresse aus dem Feld "Email" ein und wählen Sie danach die Schaltfläche "Weiter".

    7. Geben Sie das Kennwort zum Schutz der neuen Zertifikatsdatei ein. Dieses Kennwort benötigt der spätere Benutzer zum Entsperren des Zertifikats bei Benutzung.

    8. Wählen Sie für die "Schlüsselstärke" den Wert "stark (4096 Bits, SHA512)" aus und danach die Schaltfläche "Weiter".

    9. Nach der Prüfung der Zertifikatsdaten wählen Sie die Laufzeit des Zertifikats aus. Beachten Sie, dass die Gültigkeit nicht länger sein darf als die Laufzeit der ausstellenden SX-GATE-Root-CA. Es ist sinnvoll die Laufzeit eines Zertifikats so kurz wie möglich zu halten, falls keine administrativen Gründe dageben sprechen.

    10. Wählen Sie als Verwendungszweck "Client Authentifizierung".

    11. Geben Sie das CA-Passwort zum Signieren des neuen VPN-Server-Zertifikats ein und wählen Sie danach die Schaltflächen "Weiter und Fertigstellen".

    12. Der neue Schlüssel ist für einen Client bestimmt. Wählen Sie dazu die Schaltfläche "Weiter" der Option "OpenVPN Client" aus.

    13. Vergeben Sie den FQDN oder die Internet-IP-Adresse unter der das SX-GATE im Internet erreichbar ist.

    14. Wählen Sie die OpenVPN-Schnittstelle aus die als Konfigurationsbasis für die Benutzerkonfiguration verwendet werden soll. Wählen Sie danach die Schaltfläche "Weiter".

    15. Es werden jetzt Downloads angezeigt die für unterschiedliche Situationen berücksichtigen. Wählen Sie das passende Konfigurationsprofil aus. Falls Sie sich unsicher sind, dann empfehlen wir den Ersten Dateidownload. Detailierte Informationen zu den angebotenen Downloads finden Sie sich auf der rechten Bildschrmseite in der Online-Hilfe. Hier werden alle Möglichkeiten detailiert beschrieben.

      • Universelle OpenVPN Konfigurationsdateien (.ovpn)
        • Privater-Schlüssel kennwortgeschützt in .ovpn-Datei eingebettet
        • (empfohlene Option - geeignet für Installationen unter Windows und für macOS mit dem OpenVPN-Client "Tunnelblick")
        • Privater-Schlüssel ungeschützt in .ovpn-Datei eingebettet (nicht empfohlen)

      • Normale Installationspakete für Windows (.exe)
        • Privater-Schlüssel in kennwortgeschützter PKCS#12-Datei
        • Import des privaten Schlüssels in Windows-Zertifikatsspeicher des Benutzers

      • Windows-Installationspakete für die Anmeldung an einer Windows-Domäne über eine vorab aufgebaute VPN-Verbindung (SBL/PLAP; .exe)
        • Privater-Schlüssel kennwortgeschützt in .ovpn-Datei eingebettet
        • Import des privaten Schlüssels in den Windows-Zertifikatsspeicher des Computers

    16. Über die Schaltfläche "Fertigstellen" schließen Sie die Konfiguration ab. Dabei wird der aktuell noch vorhandenen private Key des Schlüsselpaars gelöscht.

    17. Die für den Benutzer generierte Konfigurationsdatei kann nun verteilt und installiert werden.
    Hinweis:
    Wenn Sie die Option "Zugriff nur für freigegebene Zertifikate" in den OpenVPN Einstellungen aktiviert haben, müssen Sie anschließend das Zertifkat in den "Client-spezifischen Parametern hinzufügen".

    Für Benutzer mit einem abgelaufenen Zertifikat erstellen Sie ein neues Konfigurationsprofil.

    Achtung:
    Wenn Sie lediglich das bisherige OpenVPN-Zertifikat "verlängern/neu ausstellen" wollen, dann wird das bisherige Zertifikat überschrieben. Für den Fall, dass dieses Zertifikat noch technisch gültig war, kann dieses nicht mehr in einer Zertifikatssperrliste hinterlegt werden.

    Erzeugen Sie in diesem Fall ein komplett neues Konfigurationsprofil und revozieren Sie das nicht mehr benötigte aber noch gültige Zertifikat.
    Veröffentlicht