Einrichten einer SX-GATE-Root-CA und eines VPN-Server-Zertifikats für OpenVPN und IPSec

    X.509-Zertifikate in OpenVPN und IPSec

    Die Verwendung von X.509-Zertifikaten stellt die sicherste und flexibelste Authentifizierungsmethode für OpenVPN dar. Ein X.509-Zertifikat basiert auf asymmetrischer Kryptographie und ermöglicht eine eindeutige Identifikation sowohl des OpenVPN-Servers als auch der Clients. Jedes Zertifikat wird von einer Certificate Authority (CA) signiert, die als vertrauenswürdige Instanz fungiert. Dadurch kann sichergestellt werden, dass nur autorisierte Clients auf das VPN zugreifen können.

    Ein wesentlicher Vorteil dieser Zertifikatsmethode ist die individuelle Client-Authentifizierung. Jeder Client erhält ein eigenes Zertifikat, wodurch Verbindungen gezielt gesteuert werden können. Sollte ein Client kompromittiert werden oder nicht mehr benötigt werden, kann sein Zertifikat problemlos über eine Certificate Revocation List (CRL) gesperrt werden, ohne die gesamte VPN-Infrastruktur neu konfigurieren zu müssen.

    Darüber hinaus ermöglicht X.509 eine feingranulare Zugriffskontrolle und Sicherheitsrichtlinien. Beispielsweise kann OpenVPN so konfiguriert werden, dass nur Clients mit bestimmten Zertifikaten oder Zertifikatseigenschaften eine Verbindung aufbauen dürfen. In Kombination mit weiteren Sicherheitsmaßnahmen, wie TLS-Auth oder Multi-Faktor-Authentifizierung (MFA), lässt sich die VPN-Absicherung weiter optimieren.

    Dank der zentralen Verwaltung über die SX-GATE eigene Root-CA ist die Nutzung von X.509-Zertifikaten nicht nur sicher, sondern auch skalierbar. Dies macht sie zur bevorzugten Wahl für produktive VPN-Umgebungen, in denen eine hohe Sicherheit und einfache Administration gefordert sind.

    Bevor der VPN-Server-Dienst für OpenVPN und IPSec gestartet werden kann ist es erforderlich zu prüfen, ob bereits ein X.509-Zertifikat für den VPN-Server erzeugt und zugewiesen wurde.

    Prüfen Sie im Menü "Module > Netzwerk > Einstellungen > Reiter [VPN Zertifikat] und im Reiter [Vertrauenswürdige VPN CA]", ob hier bereits ein Zertifikat zugewiesen wurde und ob dieses Zertifikat auch die benötigten Attribute besitzt. Falls nicht, erzeugen Sie zuerst die SX-GATE eigene Root-CA. Danach erzeugen Sie das VPN-Server-Zertifikat. Dieses wird zentral eingebunden und für OpenVPN und IPSec verwendet.

    Mögliche Zertifikatsattribute sind:
    C   , ST,   L,   O,   OU,  Email,  CN
    ---, ---, ---, ---, ----, -------, ----
     |      |    |      |     |         |         |
     |      |    |      |     |         |         + --- Zertifikatsbezeichner
     |      |    |      |     |         + ---------- Administrator E-Mail-Adresse
     |      |    |      |     + ----------------- Abteilung
     |      |    |      + --------------------- Organisation/Firma
     |      |    + -------------------------- Ort
     |      + ------------------------------ Bundesland/Staat
     + ----------------------------------- Länderkürzel (zwei Buchstaben)

    SX-GATE eigene Root-CA erzeugen

    Gehen Sie dazu in das Menü "System > Zertifikatsverwaltung > CA Zertifikate" und danach in der Tabelle "CA Zertifikate" auf den Eintrag "SX-GATE-CA". Jetzt können Sie das neue SX-GATE Root-CA-Zertifikat erzeugen.

    1. Wählen Sie die Option "CA Zertifikat erstellen oder importieren" und danach die Schaltfläche "Weiter".

    2. Wählen Sie danach die Option "Neues Zertifikat erzeugen" und danach die Schaltfläche "Weiter".

    3. Geben Sie jetzt die Zertifikatsattribute für die SX-GATE-Root-CA ein und wählen Sie die Schaltfläche "Weiter".

    4. Vergeben Sie das CA-Passwort. Dieses dient dem Schutz des SX-GATE-Root-CA-Zertifikats und wird immer dann abgefragt, wenn mit dieser Root-CA ein neues Zertifikat signiert werden soll.

    5. Wählen Sie bei "Schlüsselstärke" den Wert "stark (4096 Bits, SHA512)" aus und danach die Schaltfläche "Weiter".

    6. Falls Sie eine komplett neue SX-GATE Root-CA erzeugen, wählen Sie die Schaltfläche "Fertigstellen". Falls Sie eine bereits vorhandenen SX-GATE-Root-CA überschreiben wollen, so erhalten Sie dazu einen Dialog den Sie ebenfalls mit der Schaltfläche "Fertigstellen" bestätigen. Die neue SX-GATE-Root-CA wird nun installiert. Sie können an dieser Stelle ein Backup des neuen SX-GATE-Root-CA-Schlüsselpaars über die Schaltfläche "Weiter" erzeugen. Ansonsten schließen Sie diesen Vorgang mit der Schaltfläche "OK" ab.

    7. Die neue SX-GATE-Root-CA kann jetzt für das Signieren von Zertifikaten verwendet werden.

    VPN-Server-Zertifikat erzeugen und im SX-GATE VPN-Server hinterlegen

    Das VPN-Server-Zertifikate von SX-GATE wird gleichzeitig für OpenVPN und IPSec verwendet. Aus diesem Grund muss es auch nur einmal erzeugt und eingebunden werden.

    1. Gehen Sie dazu in das Menü "System > Zertifikatsverwaltung > CA Zertifikate" und danach in der Tabelle "CA Zertifikate" auf den Eintrag "Zertifikate" in der Zeile "SX-GATE-CA".

    2. Wählen Sie dann den Eintrag "VPN" aus. Über die Option "Lokales VPN-Server Zertifikat erstellen" starten Sie den Vorgang.

    3. Geben Sie jetzt die Zertifikatsattribute die das SX-GATE VPN-Server-Zertifikat ein.

    4. Vergeben Sie für das Attribut "CN" den FQDN oder die Internet-IP-Adresse unter der das SX-GATE erreichbar ist.

    5. Tragen Sie in der Tabelle "Alternative Bezeichner" alle FQDNs (DNS-Namen) und IP-Adressen ein, die für das Ansprechen des SX-GATE verwendet werden. Tagen Sie hier ebenfalls den Wert ein den Sie zuvor beim Attribut "CN" eingetragen haben.

    6. Wählen Sie bei "Schlüsselstärke" den Wert "stark (4096 Bits, SHA512)" aus und danach die Schaltfläche "Weiter".

    7. Nach der Prüfung der Zertifikatsdaten wählen Sie die Gültigkeitsdauer des Zertifikats aus. Beachten Sie, dass die Gültigkeit nicht länger sein darf als die Gültigkeit der ausstellenden SX-GATE-Root-CA. Beachten Sie auch, dass es günstiger ist die Laufzeit eines Zertifikats so kurz wie möglich zu halten, falls keine administrativen Gründe dageben sprechen.

    8. Wählen Sie als Verwendungszweck "Server Authentifizierung".

    9. Geben Sie das CA-Passwort zum Signieren des neuen VPN-Server-Zertifikats ein und wählen Sie danach die Schaltflächen "Weiter und Fertigstellen".

    10. Hinterlegen Sie das neue VPN-Server-Zertifikat nun im lokalen SX-GATE-VPN-Server, wählen Sie dazu die Schaltflächen "Weiter und Fertigstellen". Schließen Sie den Vorgang mit der Schaltfläche "OK" ab.
    Ob die neue SX-GATE-Root-CA und das neue SX-GATE VPN-Server-Zertifikate im VPN-Subsystem eingebunden sind können Sie über die folgenden Menüs überprüfen:

    SX-GATE-Root-CA: "Module > Netzwerk > Einstellungen > Reiter [VPN-Server]"
    SX-GATE VPN-Server-Zertifikat: "Module > Netzwerk > Einstellungen > Reiter [Vertrauenswürdige VPN CA]"

    Vergleichen Sie zur Sicherheit die Werte der angezeigten Fingerprints mit denen der neu erzeugten Zertifikate.

    Backup der neu generierten Zertifikate für die SX-GATE-Root-CA und den SX-GATE VPN-Server


    SX-GATE-Root-CA
    Die Sicherung des SX-GATE-Root-CA-Schlüsselpaars können Sie in unterschiedlichen Menüs durchführen. Es gibt aber keinen inhaltlichen Unterschied, über welchen Menüpfad Sie das Backup der SX-GATE-Root-CA durchführen.

    Pfad1: Menü "System > Zertifikatsverwaltung > Backup > Reiter [CA-Schlüssel]"
    Pfad2: Menü "System > Zertifikatsverwaltung > CA Zertifikate". In der Tabelle CA Zertifikate wählen Sie "SX-GATE-CA". Über die Option "CA Schlüsselbaar sichern" Starten Sie den Vorgang. Geben Sie dazu die folgenden Werte ein:

    1. Aktuelles CA-Passwort der Root-CA
    2. PKCS#12-Passwort - Mit einem Kennwort sichern Sie das Schlüsselpaar im Format PKCS#12 vor unberechtigtem Zugriff. Die erzeugte Datei hat die Dateiendung ".p12".
    3. Verschlüsselung - Falls Sie das Schlüsselpaar ausschließlich im SX-GATE verwenden wollen, so wählen Sie bei der Option "Verschlüsselung" den Wert "Sicher" aus. Anderenfalls, falls Sie das Zertifikat in einem älteren SX-GATE verwenden wollen, wählen Sie den Wert "Kompatibel mit Fremdsystemen aus". Beenden Sie den Vorgang mit der Schaltfläche "Fertigstellen".

    SX-GATE VPN-Server
    Zur Sicherung des VPN-Server-Schlüsselpaares gehen Sie in das Menü "System > Zertifikatsverwaltung > Schlüsselbund". Wählen Sie in der Tabelle "Zertifikate" den Eintrag "VPN" aus.

    Über die Option "Backup des Schlüsselpaars erstellen" sichern Sie das Schlüsselpaar. Mit einem Kennwort sichern Sie das Schlüsselpaar im Format PKCS#12 vor unberechtigtem Zugriff. Die erzeugte Datei hat die Dateiendung ".p12".
    Falls Sie das Schlüsselpaar ausschließlich im SX-GATE verwenden wollen, so wählen Sie bei der Option "Verschlüsselung" den Wert "Sicher" aus. Anderenfalls, falls Sie das Zertifikat in einem älteren SX-GATE verwenden wollen, wählen Sie den Wert "Kompatibel mit Fremdsystemen aus". Beenden Sie den Vorgang mit der Schaltfläche "Fertigstellen".
    Veröffentlicht